Actualités, Privacy

Un logiciel malveillant vole les cookies Chrome pour pirater vos comptes

par Pieter Arntz | 26 juin 2026
Vol de cookies
Ajouter comme source préférée sur Google

Une pièce jointe à un e-mail entraîne l'installation d'une Chrome malveillante. Selon les chercheurs, celle-ci fait partie d'une Windows diffusée par le biais d'un e-mail de hameçonnage. Le logiciel malveillant exploite la fonctionnalité « Chrome Messaging » pour transférer le contrôle du navigateur vers le système hôte. Sa ruse la plus remarquable ne réside pas dans l'appât de hameçonnage en lui-même, mais dans la manière dont il utilise Windows légitimes du navigateur et Windows pour exécuter PowerShell et collecter des données tout en s'intégrant dans les flux de travail habituels.

L'attaque commence par une pièce jointe à un e-mail se faisant passer pour un fichier PDF. Le fichier utilise une extension trompeuse .pfd.js qui ressemble à un document PDF, mais qui est en réalité un fichier JavaScript obscurci qui place des fichiers supplémentaires dans le dossier temporaire et déclenche la suite de la chaîne d'infection.

Dans le cadre de cette chaîne d'attaques, un script PowerShell prépare une Chrome et modifie les paramètres Chrome afin que l'extension puisse être installée. Le logiciel malveillant fait en sorte que l'installation apparaisse comme un déploiement contrôlé par un administrateur plutôt que comme une installation normale d'extension.

Une fois activée, l'extension et son application native associée collectent les cookies du navigateur, les onglets ouverts, les URL, les paramètres linguistiques et les données d'empreinte numérique. Les opérateurs utilisent également cette configuration comme canal de commande à distance, envoyant des instructions permettant de lancer PowerShell et de répertorier le contenu du C: disque dur.

Grâce aux cookies de session authentifiés qu’ils ont volés, les pirates peuvent détourner des sessions de navigateur actives, au lieu de se contenter de voler des mots de passe. Cette méthode leur est plus utile, car elle leur permet d’accéder à des comptes déjà connectés sur le navigateur de la victime, en contournant ainsi l’authentification multifactorielle (MFA).

L’aspect le plus intéressant de cette attaque réside dans l’exploitation abusive de la fonctionnalité Chrome Messaging » comme passerelle entre le bac à sable du navigateur et le système d’exploitation. Chrome aux extensions de communiquer avec un hôte natif enregistré, et les attaquants ont détourné cette fonctionnalité légitime pour transformer l’extension en un contrôleur permettant l’exécution de code local. L’extension ne lance pas PowerShell directement. Elle envoie plutôt des messages à l’hôte natif, qui lance alors PowerShell ou interagit avec celui-ci sur le système hôte.

Comment rester en sécurité

La première mesure de protection contre ce type d'attaques consiste à ne pas ouvrir les pièces jointes des e-mails, sauf si vous pouvez vérifier l'identité de l'expéditeur. Par ailleurs :

  • Vérifiez toujours l'extension réelle du fichier au lieu de vous fier au nom de fichier affiché.
  • Utilisez une solution anti-malware à jour et fonctionnant en temps réel pour détecter et bloquer les activités malveillantes.
  • Vérifiez les Chrome installées sur votre appareil et supprimez celles que vous ne reconnaissez pas ou que vous n'utilisez plus.
  • Par mesure de précaution supplémentaire, déconnectez-vous des comptes importants lorsque vous avez terminé. Cela met fin à votre session ; ainsi, même si quelqu’un a volé votre cookie de session, il ne pourra pas l’utiliser pour accéder à votre compte.
  • Vérifiez régulièrement l'historique des connexions pour vos comptes importants. De nombreux services en ligne vous permettent de voir quels appareils se sont connectés, à quel moment et depuis quel endroit.

CIO

Pièce jointe :

Fattura-2819889242.pfd.js (affiché sous la forme Fattura-26189991026.pdf)

Fichiers malveillants :

client_124578.exe
d3d11.dll

Chrome :

Nom : Cloud vn105rkj64
ID : gghagmhimhgfeajfdmjkgmmehbokmglg

Domaine :

ext2[.]info

Ceci est bloqué par Malwarebytes Browser Guard, notre extension de navigateur gratuite qui bloque les publicités, les traceurs, les logiciels malveillants et bien plus encore.

Browser Guard ext2[.]info
Browser Guard ext2[.]info

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Insectes
PixelSmash

La faille « PixelSmash » transforme les fichiers vidéo en outils d'attaque

Juin 24, 2026

Des chercheurs ont découvert une faille critique dans FFmpeg qui pourrait permettre à des pirates d'utiliser un fichier vidéo malveillant pour compromettre des systèmes vulnérables.

Produit
Un loup déguisé en agneau

Méfiez-vous des escroqueries liées au renouvellement qui se font passer pour Malwarebytes

Juin 24, 2026

Des escrocs envoient de faux avis de renouvellement de logiciel, prétendant que vous avez été facturé pour un abonnement. Certains vont même jusqu'à se faire passer pour Malwarebytes.

Escroqueries
Un jeune homme s'est assis, la tête dans une main et tenant un téléphone dans l'autre.

« UnTotal à tous vos appareils. » Les escrocs spécialisés dans le chantage sexuel frappent à nouveau

Juin 24, 2026

Ils prétendent détenir des vidéos, des logiciels malveillants et avoir le contrôle total de vos appareils. Voici comment analyser un e-mail de chantage sexuel avec l'œil d'un chercheur en sécurité plutôt que celui d'une victime.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries