Attention aux extensions Chrome malveillantes ! Celles-ci se propagent entre autres via les réseaux sociaux.
Modus Operandi
Les utilisateurs cliquent sur un lien d’une vidéo ou d’un article qui vous mène vers un autre site. Cet autre site Internet ressemble très fortement à Youtube ou à un autre site Web connu.
Détrompez-vous, c’est une contrefaçon très bien faite ! Cette contrefaçon va vous proposer d’installer une extension Chrome pour lire la vidéo qui, une fois installée, peut surveiller toutes vos actions sur le Web, y compris voler vos mots de passe. Votre ordinateur fera alors partie d’un botnet (genre de mise en réseau des ordinateurs infectés pour qu’ils fassent certaines actions).
Des chercheurs en sécurité avertissent à nouveau les utilisateurs d’une nouvelle campagne de logiciels malveillants active depuis au moins mars de cette année. Elle aurait déjà infecté plus de 100 000 utilisateurs dans le monde entier.
Surnommé Nigelthorn, le malware se propage rapidement via Facebook et infecte les systèmes des victimes avec des extensions de navigateur malveillantes qui volent leurs identifiants de médias sociaux, installent des mineurs de cryptomonnaies et les engagent dans une fraude au clic. Le malware a été installé à travers au moins sept extensions de navigateur Chrome différentes, toutes hébergées sur le Chrome Web Store officiel de Google. Ces extensions malveillantes de navigateur Chrome ont d’abord été découvertes par des chercheurs de la société de cybersécurité Radware, après qu’un « réseau bien protégé » de l’un de ses clients ait été compromis.
Le malware s’installe exclusivement via Chrome autant sous Linux que Windows et est transmis par Messenger ou Facebook. Pour passer les portails de sécurité du Chrome Web Store, les extensions copiaient grossièrement des extensions existantes en rajoutant quelques lignes de script malfaisantes. C’est d’ailleurs pour ça que le Malware est surnommé « Nigelthorn » puisqu’il est une copie de la populaire extension’Nigelify’ conçue pour remplacer toutes les images d’une page web par des gifs de ‘Nigel Thornberry’.
Le Malware se sert de vos données facebook pour paraître plus crédible auprès de vos amis lors de sa tentative de propagation. Il empêche aussi la suppression de l’extension en fermant les onglets d’accès aux extensions et blackliste même une série d’outils de nettoyage fournis par Facebook et Google. Il permet aussi d’installer des mineurs de cryptomonnaies (Monero, Bytecoin ou Electroneum). En 6 jours les pirates ont semblé généré environ 1000$ via ces minages.
Liste des extensions malveillantes
Toutes ces extensions ont été supprimées du Google Web Store. Si vous en possédez une installée, désinstallez-la immédiatement et changez vos mots de passe Facebook, Instagram et sur tout autre site où vous utilisez des identifiants similaires.
