ALGÉRIE
17/05/2018 15h:02 CET

Des extensions Chrome se propagent via Facebook pour voler des mots de passe

Les chercheurs en sécurité avertissent à nouveau les utilisateurs d’une nouvelle campagne de logiciels malveillants qui est active depuis au moins mars de cette année.

DR
Extensions chrome.

Les cybercriminels ont adopté une nouvelle méthode pour propager des logiciels malveillants et voler les mots de passe et autres données personnelles des utilisateurs de réseaux sociaux.

L’un des modes de fonctionnement consiste à les attirer à visiter une version similaire de sites Web populaires qui apparaissent dans une fenêtre d’installation d’extension de Chrome. Selon des chercheurs de la firme de cyber sécurité “Radware”, sept extensions du navigateur Chrome sont mises en cause.

Les chercheurs en sécurité avertissent à nouveau les utilisateurs d’une nouvelle campagne de logiciels malveillants qui est active depuis au moins mars de cette année et qui a déjà infecté plus de 100.000 utilisateurs dans plus de 100 pays.

Surnommé “Nigelthorn”, le malware se propage rapidement via des liens conçus sur Facebook et infecte les systèmes des victimes avec des extensions de navigateur malveillants qui volent leurs informations d’identification de médias sociaux, installent des mineurs de crypto monnaie et les impliquent dans la fraude au clics, selon les explication des chercheurs.

La société Radware, indique que le malware “Nigelthorn” a été diffusé via au moins sept extensions du navigateur Chrome, toutes hébergées sur le Chrome Web Store officiel de Google.

“Le 3 mai 2018, le service de protection contre les logiciels malveillants de Radware a détecté une menace de logiciels malveillants “zero-day” chez l’un de ses clients, une entreprise de fabrication mondiale, en utilisant des algorithmes d’apprentissage automatique”, annonce la société sur son blog.

“Processus d’infection”

“Radware a surnommé le malware “Nigelthorn” puisque l’application originale de Nigelify remplace les images par “Nigel Thornberry” (personnage de fiction, ndlr) et est responsable d’une grande partie des infections observées. Le logiciel malveillant redirige les victimes vers une fausse page YouTube et demande à l’utilisateur d’installer une extension Chrome pour lire la vidéo”.

Lorsque l’extension malveillante est téléchargée, “la machine fait maintenant partie du botnet”. “Le logiciel malveillant dépend de Chrome et fonctionne à la fois sur Windows et Linux”, ajoute la firme qui précise que “la campagne se concentre sur les navigateurs Chrome” et que les non utilisateurs de ce navigateur “ne sont pas exposés”.

Selon Radware, “une victime qui clique sur “Ajouter une extension” est redirigée vers une URL Bitly à partir de laquelle elle sera redirigée vers Facebook. Ceci est fait pour tromper les utilisateurs et récupérer l’accès à leur compte Facebook ”. “Plus de 75% des infections couvrent les Philippines, le Venezuela et l’Equateur. Les 25% restants sont répartis dans 97 autres pays”, ajoute la firme.

Contourner les outils de validation des applications Google est une des techniques utilisées par les cybercriminels. Des copies d’extensions légitimes ont été créées dans lesquels un script malveillant a été dissimulé pour lancer l’opération des logiciels malveillants.

À ce jour, le groupe de recherche de Radware a observé sept de ces extensions malveillantes, dont quatre ont été identifiées et bloquées par les algorithmes de sécurité de Google. Les extensions bloquées sont : “Alt-j”, “Fixe-case”, “Divinity 2 Original Sin: Wiki Skill Popup”, “iHabno”, et “Keeprivate”. Les extensions malveillantes “Nigelify” et “PwnerLike” seraient encore actives.

Si vous en avez installé une ou plusieurs de ces extensions, vous devez le désinstaller immédiatement et modifier les mots de passe de votre compte Facebook, Instagram et d’autres comptes sur lesquels vous utilisez les mêmes informations d’identification.