Les premières traces de ce subterfuge remontent au début du mois de janvier. Son objectif final ? L’installation d’un malware baptisé ModeloRAT dans des environnements d’entreprise.
Mais pour y parvenir, les cybercriminels ont dû trouver une porte d’entrée discrète et elle se nomme NexShield.
Ce bloqueur de publicités, présenté sur les boutiques d’applications de Google Chrome et Microsoft Edge comme léger, performant et respectueux de la vie privée, était faussement attribué à Raymond Hill, le développeur d’un autre bloqueur de publicités légitime, uBlock Origin, qui compte plus de 14 millions d’utilisateurs.
Intégrée dans un protocole d’attaque particulièrement sournois, la partie malveillante de l’extension n’était exécutée qu’au bout de 60 minutes après l’installation, afin de brouiller les pistes.
NexShield, la première étape vers le ClickFix
Concrètement, une fois installée, NexShield sature les capacités du navigateur en provoquant un déni de service (DoS), comprenez une attaque DDoS ne provenant que d’une seule source.
En créant des connexions de port dans une boucle infinie et en épuisant la mémoire disponible, l’extension entraîne le gel des onglets, une forte hausse de l’utilisation du processeur par le processus Chrome, une augmentation de la consommation de la mémoire vive (RAM) et un ralentissement général du navigateur, jusqu’au blocage ou au plantage, obligeant l’utilisateur à le fermer via le gestionnaire des tâches Windows.
Au redémarrage, l’extension affiche alors une fenêtre contextuelle trompeuse, présentant un faux avertissement et suggérant d’analyser le système pour identifier l’origine du problème.
C’est ici que se referme le piège : cette action ouvre une nouvelle fenêtre détaillant la marche à suivre pour « corriger » la situation, ce qui implique d’exécuter des commandes malveillantes. Une méthode d’attaque déjà largement documentée sous le nom de ClickFix.
Une commande pré-rédigée par les pirates est alors copiée dans le presse‑papiers et il suffit à la victime d’appuyer sur « Ctrl+V » pour déclencher son auto-piratage. La commande déclenche l’exécution d’un script PowerShell malveillant permettant l’installation du fameux ModeloRAT.
La désinstallation de l’extension ne suffit pas
Pour les victimes, le risque est immense : ModeloRAT dispose de capacités de prise de contrôle à distance d’un poste Windows, avec collecte d’informations système détaillées et communication chiffrée vers un serveur de commande.
D’ailleurs, les utilisateurs de Windows restent les cibles privilégiées de ces attaques ClickFix, déjà exploitées dans d’autres campagnes, notamment celles simulant un écran bleu de la mort pour pousser les victimes à exécuter des commandes malveillantes.
L’extension NexShield a depuis été retirée du Chrome Web Store, mais les personnes l’ayant installée doivent procéder à un nettoyage complet de leur système, la simple désinstallation ne supprimant pas forcément toutes les charges utiles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !