Si votre navigateur Chrome n’arrête pas de planter, il est possible qu’une extension malveillante soit parvenue à s’immiscer sur celui-ci. En ce moment, une fausse extension censée bloquer les publicités se propage sur Internet. Une fois installée, elle va tout faire pour faire crasher Chrome. C’est la première étape d’une cyberattaque qui aboutit à l’installation d’un redoutable virus.
Une nouvelle campagne malveillante vise les utilisateurs de Google Chrome et de Microsoft Edge. Découverte par les chercheurs de la société de sécurité Huntress, l’attaque est orchestrée par un cybercriminel qui se fait appeler KongTuke. Actif au moins depuis le début de l’année dernière, le pirate s’est spécialisé dans les attaques de type « ClickFix » de plus en plus sophistiquées. Ce type d’attaque repose avant tout sur la manipulation des internautes, et non sur l’exploitation d’une vulnérabilité. Les cybercriminels conduisent leurs victimes à effectuer elles-mêmes des actions risquées, ce qui leur permet de contourner les protections et les mécanismes de sécurité habituels. Ces campagnes sont toujours plus fréquentes, et les cas récents se multiplient, notamment sur les ordinateurs Windows.
À lire aussi : Désinstallez vite ces 17 extensions Chrome, Edge et Firefox, ce sont des mouchards chinois
Une fausse extension pour bloquer des pubs
En l’occurrence, la nouvelle opération de KongTuke repose sur une fausse extension de navigateur, intitulée NexShield. Celle-ci s’appuie presque intégralement sur le code d’une extension Chrome/ Edge légitime, à savoir uBlock Origin Lite. Il s’agit d’une version allégée du bloqueur de contenus uBlock Origin, qui compte plus de 14 millions d’utilisateurs. Celle-ci permet de bloquer les pubs et les traceurs publicitaires, mais dispose de moins de fonctionnalités avancées que la version complète.
Pour appâter les internautes, le cybercriminel présentait NexShield comme une solution efficace pour bloquer les publicités, sans affecter les performances du navigateur et de l’ordinateur. Le pirate n’hésitait pas à se faire passer pour le créateur d’uBlock en affichant le nom de celui-ci, à savoir Raymond Hill, sur la page de l’extension sur le Chrome Web Store. Cette « tactique exploite la confiance que les utilisateurs accordent aux projets open source reconnus », souligne l’enquête d’Huntress.
Un navigateur qui plante
Une fois installée, l’extension va tout faire pour faire planter le navigateur de la victime. L’extension ouvre en effet des milliers de canaux de communication avec le navigateur, sans jamais les fermer, jusqu’à saturer la mémoire et bloquer complètement Chrome/Edge. Chaque canal consomme un peu de mémoire vive. De facto, le navigateur devient rapidement inutilisable. Les onglets se figent complètement. Il n’est plus possible de cliquer sur quoi ce soit. Dos au mur, l’internaute se rend dans le gestionnaire de tâches pour relancer son navigateur. La première étape de la cyberattaque repose donc entièrement sur le plantage du navigateur. C’est pourquoi les chercheurs de Huntress parlent d’une attaque de type « CrashFix », qui désigne une variante de la tactique traditionnelle « ClickFix ».
Quand la victime rouvre le navigateur, NexShield affiche une fenêtre contextuelle trompeuse expliquant qu’un problème a été détecté et qu’il faut analyser le système pour trouver la cause profonde de la panne. Sur cette fenêtre factice, un bouton intitulé « Réparer » apparaît. Si l’internaute clique sur celui-ci, une nouvelle page s’ouvre avec un faux avertissement de sécurité, présentant la situation comme très urgente. L’utilisateur est alors invité à réaliser une manipulation simple pour corriger le tir. Si l’utilisateur ferme la fenêtre contextuelle et refuse de suivre les consignes, le navigateur va planter une nouvelle fois dans un délai de dix minutes. L’extension s’assure en fait que Chrome plante jusqu’à ce que la victime obéisse. La seule solution pour interrompre le processus est de supprimer l’extension.
À lire aussi : Alerte sur Chrome, Edge et Firefox -un empire de l’espionnage chinois a été découvert
Le virus ModeloRAT
La page demande à l’internaute de lancer l’invite de commandes Windows, la fenêtre noire où l’on tape des commandes texte, et d’appuyer sur Ctrl+V. Comme dans les autres attaques ClickFix, une commande malveillante a déjà été copiée dans le presse‑papiers par l’extension. Sans s’en rendre compte, l’internaute exécute une commande qu’il n’a jamais vraiment lue. Persuadé de réparer un bug du navigateur, il va enclencher l’installation d’un script malveillant qui va aboutir au déploiement de ModeloRAT, un cheval de Troie d’accès à distance (RAT) pour Windows. Une fois déployé, il va prendre le contrôle de l’ordinateur.
Développé en Python, avec un code fortement obfusqué par ses créateurs, le malware va envoyer des informations détaillées sur des serveurs à distance. Ces données servent aux pirates à déterminer l’intérêt de l’ordinateur qu’ils viennent de compromettre. Le virus se configure pour redémarrer à chaque ouverture de session. Enfin, il se met à installer d’autres logiciels malveillants sur l’ordinateur, ce qui ouvre la porte à tous les abus possibles et imaginables. Selon les investigations menées par les chercheurs, les pirates se concentrent sur les PC issus d’une entreprise. Ceux-ci sont plus lucratifs.
Pour éviter que l’utilisateur fasse le lien entre l’extension et le script, la charge utile n’est pas déclenchée immédiatement aprés l’installation. Les commandes sont en effet exécutées 60 minutes après l’installation de NexShield sur le navigateur. Cette « stratégie de temporisation permet, lors de l’installation de l’extension par un utilisateur, de garantir qu’aucune action malveillante ne se produise immédiatement », ce qui risque de mettre la puce à l’oreille de la victime.
Alerté par Huntress, Google a supprimé l’extension NexShield du Chrome Web Store. Elle n’est plus disponible au téléchargement, mais des navigateurs pourraient encore en être équipés. L’extension NexShield a d’ailleurs été téléchargée des milliers de fois avant d’être supprimée de la boutique. La « campagne est encore en cours de développement », ce qui signifie qu’il faut redoubler de prudence.
Avant d’installer une extension, prenez quelques minutes pour vous informer sur son fonctionnement, l’identité de son éditeur et son historique de mises à jour. Vérifiez systématiquement les avis, les commentaires et la note globale, en vous méfiant des critiques trop enthousiastes ou trop récentes pour être crédibles. En cas de doute, abstenez-vous et privilégiez des extensions reconnues, largement utilisées et recommandées par des sources de confiance
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Huntress