Cette semaine, les chercheurs en sécurité ont démantelé une campagne de maldumping qui a utilisé une fausse extension pour Chrome et Edge appelé NexShield comme cheval de Troie. Une vue simple a été vendue comme un bloqueur publicitaire léger et respectueux de la vie privée, même en mentionnant le développeur légitime de uBlock Origin comme une revendication, mais son objectif était beaucoup plus sinistre: faire bloquer le navigateur et ensuite pousser l'utilisateur à exécuter des commandes de téléchargement de logiciels malveillants.
Le comportement malveillant a combiné deux tactiques classiques : forcer une véritable défaillance du navigateur et, lorsque l'utilisateur a redémarré, montrer un avertissement frauduleux qui a demandé de « corriger » le problème en appuyant et en exécutant une commande dans le symbole du système. Selon le rapport technique publié par les chercheurs Huntress, l'extension a généré des connexions de port à travers l'API d'extension (chrome.runtime) dans une boucle infinie jusqu'à ce que la mémoire soit épuisée, laissant des onglets gelés, haute utilisation du processeur et, enfin, un effondrement total de Chrome ou Edge. L'analyse complète est disponible sur le blog de Huntress: Rapport de chasse.
Ce qui différencie cette campagne des autres variantes de "ClickFix" c'est que ici l'échec n'est pas une simulation dans le navigateur : c'est un vrai verrou. Cet échec légitime l'urgence qui montre l'extension lors du redémarrage du navigateur et augmente la probabilité qu'une victime suive des instructions hâtives. La boîte de dialogue frauduleuse copie automatiquement une commande dans le presse-papiers et demande à l'utilisateur de la coller et de l'exécuter sur la console Windows. Cette chaîne de commandes déclenche une séquence qui invoque PowerShell opused pour télécharger et exécuter le code distant.
La charge utile Huntress trouvée dans les environnements d'entreprise était un nouvel accès à distance écrit en Python appelé ModeloRAT. Dans les machines qui font partie d'un domaine commercial, ModeloRAT démontre les capacités typiques des outils d'accès à distance: reconnaissance du système, Power Exécution de commande Shell, modification du registre Windows, téléchargement de charge supplémentaire et mise à jour à distance. Dans les hôtes domestiques, pour l'instant, le serveur de commande et de contrôle a répondu par un message de test, suggérant que les opérateurs priorisent les objectifs commerciaux. Tous ces détails sont décrits en profondeur dans l'analyse technique de Huntress.
Que l'extension d'un navigateur atteint le Chrome Web Store avec des centaines ou des milliers d'installations et qu'il se présente en faisant semblant d'affinité avec des projets légitimes n'est pas nouveau, mais il est alarmant. Le développeur de uBlock Origin, Raymond Hill (gorhill), est souvent cité par les agresseurs pour donner l'apparence de crédibilité; si vous voulez voir la page du projet légitime, il est dans son dépôt: UBlock dans GitHub. Pendant ce temps, Google a déjà supprimé l'extension malveillante de son magasin après les détections.
La technique utilisée ici - causant un véritable échec et offrant ensuite une "solution" qui exécute le code - partage la philosophie avec d'autres fraudes de support technique et les vecteurs ClickFix signalés par la communauté. Des recherches antérieures ont montré des variantes qui simulent des écrans d'erreur ou même un faux BSOD en mode plein écran; dans ce cas, l'interruption est authentique, ce qui le rend plus convaincant. Pour mieux comprendre comment les API qui abusent des attaquants fonctionnent techniquement, la documentation officielle d'extension de Chrome est une bonne ressource: Chrome Durée API.
Que peuvent faire les utilisateurs et les administrateurs? Tout d'abord, ne collez pas ou n'exécutez pas les commandes qui arrivent de sources non vérifiées, aussi urgentes qu'elles apparaissent. Dans les environnements d'entreprise, il convient de vérifier rapidement les paramètres qui pourraient être exposés : vérifier les persistances (tâches programmées, inscriptions dans le registre, services), examiner les dossiers de DRE pour les connexions réseau suspectes et les signaux de sortie, et chercher des indicateurs de compromis qui détaillent les recherches de Huntress. Les utilisateurs privés qui ont installé NexShield doivent comprendre que le fait de ne supprimer que l'extension ne garantit pas le retrait de toutes les pièces malveillantes; il est recommandé de terminer le nettoyage du système en utilisant des outils de sécurité à jour et, si possible, une assistance professionnelle.
Au niveau de la prévention, limiter l'installation gratuite d'extensions dans le matériel d'entreprise par le biais de politiques de groupe ou de listes blanches, éduquer les modèles sur le risque de coller des commandes du presse-papiers et maintenir des solutions de détection et de réponse à jour sont des mesures qui réduisent la surface d'attaque. De plus, l'examen et la limitation des privilèges de compte et des pouvoirs tournants s'il y a des signes d'intrusion sont des étapes essentielles.
Cette campagne rappelle deux leçons simples mais puissantes : la première, que les extensions de navigateur peuvent devenir des vecteurs de compromis aussi efficaces qu'un attachement malveillant ; la seconde, qui se dépêche est l'allié de l'attaquant. Si quelque chose vous demande d'exécuter une commande pour "fixer" votre ordinateur, arrêtez et consultez des sources fiables avant d'agir. Pour mieux comprendre le type de tromperie qui sont exploités ici - les escroqueries de support technique et l'utilisation de messages alarmistes pour forcer les actions dangereuses - Microsoft ressources sur la façon de reconnaître les escroqueries de support technique peut être utile: Guide Microsoft.
La recherche de Huntress place l'acteur après cette campagne sous le nom de "KongTuke" et suggère un changement vers des objectifs plus lucratifs: les réseaux d'entreprises. Il s'agit d'une évolution inquiétante, mais l'impact peut être minimisé par des politiques saines, des campagnes de sensibilisation et une détection précoce. Si vous êtes soupçonné d'avoir été touché, consultez le rapport technique de Huntress et contactez votre équipe de sécurité ou des professionnels en réponse à des incidents pour un nettoyage complet.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...