Les programmes malveillants peuvent se nicher dans n’importe quel recoin du web, comme le prouve la récente découverte d’une nouvelle menace par les spécialistes de la cybersécurité de chez Huntress.
Une extension Chrome censée bloquer les publicités et téléchargée plus de 5000 fois a été identifiée comme étant à la racine d’un schéma d’arnaque complexe destiné à siphonner vos données et prendre le contrôle de votre ordinateur, note Bleeping Computer.
Un faux uBlock Origin
Tout commence par une extension Chrome appelée NexShield, tout ce qu’il y a de plus classique. Un temps hébergé sur le Chrome Web Store (avant la découverte du pot au rose) et avec son propre site, ce programme se présente comme un bloqueur de publicité inspiré du célèbre uBlock Origin. Tellement inspiré qu’en réalité, une immense partie de son code lui est emprunté et que sa paternité est faussement attribuée à Raymond Hill, créateur de la vraie extension uBlock Origin.
Se masquant derrière cette fausse légitimité, NexShield bloque cependant bel et bien les pubs pendant un temps, avant de mener à bien son projet néfaste. Après une petite heure de fonctionnement normal (histoire d’endormir les soupçons), l’extension va forcer un crash du navigateur via une attaque par déni de service. Au redémarrage une fausse fenêtre d’erreur va être affichée vous demandant de « scanner » votre ordinateur à l’aide d’une commande à coller dans le terminal de Windows.
Si l’action est effectuée, alors l’ordinateur devient infecté et des malwares et autres scripts malveillants peuvent y être téléchargés au nez et à la barbe de l’utilisateur ou l’utilisatrice. C’est très exactement le cheval de Troie ModeloRat qui est utilisé. Ce dernier est capable de télécharge et installer des fichiers .exe, exécuter des commandes PowerShell, s’inscrire de manière persistante dans le registre Windows et se mettre à jour pour échapper aux tentatives d’extermination.
Ne collez jamais des commandes Windows inconnues
Si le malware semble d’abord viser les réseaux entrepris, il est tout de même nécessaire d’être très prudent si vous avez installé l’application NexShield récemment. La première chose à faire et de la désinstaller, puis de faire une analyse complète de votre système et éventuellement une réinstallation.
Pour aller plus loin
Ce nouveau malware Android invisible contrôle votre smartphone pour vider votre compte bancaire
La méthode d’infection surnommée « CrashFix » rappelle comme deux gouttes d’eau celle d’une autre menace qui utilisait des fausses mises pour encourager les utilisateurs et utilisatrices à coller des commandes dans le terminal Windows. Le conseil est le même, ne faites jamais confiance à une commande qui apparaît spontanément sur votre ordinateur.
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.