Des chercheurs ont découvert une autre méthode utilisée dans l'esprit de ClickFix : CrashFix.
Les campagnes ClickFix utilisent des leurres convaincants, historiquement des écrans de « vérification humaine », pour inciter l'utilisateur à coller une commande à partir du presse-papiers. Après les faux écrans Windows , les tutoriels vidéo pour Mac et de nombreuses autres variantes, les pirates ont désormais introduit une extension de navigateur qui plante délibérément votre navigateur.
Des chercheurs ont découvert une copie d'un bloqueur de publicités bien connu et ont réussi à l'introduire dans la boutique en ligne officielle Chrome Store sous le nom « NexShield – Advanced Protection ». À proprement parler, le fait de bloquer le navigateur offre effectivement un certain niveau de protection, mais ce n'est pas ce que recherchent généralement les utilisateurs.
Si les utilisateurs installent l'extension de navigateur, celle-ci se connecte à nexsnield[.]com (notez la faute d'orthographe) pour suivre les installations, les mises à jour et les désinstallations. L'extension utilise l'API Alarms (interface de programmation d'application) intégrée Chromepour attendre 60 minutes avant de lancer son comportement malveillant. Ce délai réduit le risque que les utilisateurs fassent immédiatement le lien entre l'installation et le plantage qui suit.
Après cette pause, l'extension lance une boucle de déni de service qui ouvre de manière répétée des connexions au port chrome.runtime, épuisant les ressources de l'appareil jusqu'à ce que le navigateur ne réponde plus et plante.
Après avoir redémarré le navigateur, les utilisateurs voient apparaître une fenêtre contextuelle leur indiquant que le navigateur s'est arrêté de manière anormale (ce qui est vrai, mais pas surprenant) et leur proposant des instructions pour éviter que cela ne se reproduise à l'avenir.
Il présente à l'utilisateur les instructions désormais classiques pour ouvrir Win+R, appuyez sur Ctrl+V, et appuyez sur Entrée pour « résoudre » le problème. Il s'agit là du comportement typique de ClickFix. L'extension a déjà placé une commande PowerShell ou cmd malveillante dans le presse-papiers. En suivant les instructions, l'utilisateur exécute cette commande malveillante et infecte effectivement son propre ordinateur.
Sur la base des vérifications d'empreintes digitales visant à déterminer si l'appareil est connecté au domaine, deux résultats sont actuellement possibles.
Si la machine est connectée à un domaine, elle est traitée comme un appareil d'entreprise et infectée par un cheval de Troie d'accès à distance (RAT) Python baptisé ModeloRAT. Sur les machines non connectées à un domaine, la charge utile est actuellement inconnue, car les chercheurs n'ont reçu qu'une réponse « TEST PAYLOAD!!!! ». Cela pourrait impliquer un développement en cours ou d'autres empreintes digitales qui ont rendu la machine de test inadaptée.
Comment rester en sécurité
Au moment où nous écrivons ces lignes, l'extension n'était plus disponible dans le Chrome Store, mais elle réapparaîtra sans aucun doute sous un autre nom. Voici donc quelques conseils pour rester en sécurité :
- Si vous recherchez un bloqueur de publicités ou d'autres extensions de navigateur utiles, assurez-vous d'installer la version authentique. Les cybercriminels adorent usurper l'identité de logiciels de confiance.
- N'exécutez jamais de code ou de commandes copiés à partir de sites Web, d'e-mails ou de messages, sauf si vous faites confiance à la source et comprenez l'objectif de l'action. Vérifiez les instructions de manière indépendante. Si un site Web vous demande d'exécuter une commande ou d'effectuer une action technique, consultez la documentation officielle ou contactez le service d'assistance avant de continuer.
- Sécurisez vos appareils. Utilisez une solution anti-malware en temps réel à jour avec un composant de protection Web.
- Informez-vous sur les techniques d'attaque en constante évolution. Comprendre que les attaques peuvent provenir de vecteurs inattendus et évoluer permet de rester vigilant. Continuez à lire notre blog !
Conseil de pro : le logiciel gratuit Malwarebytes Browser Guard est un bloqueur de publicités très efficace qui vous protège contre les sites Web malveillants. Il vous avertit également lorsqu'un site Web copie quelque chose dans votre presse-papiers et ajoute un petit extrait de code pour rendre toute commande inopérante.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
