7 extensions Chrome se propager à travers Facebook volé voler des mots de passe

Attirer les utilisateurs sur les réseaux sociaux à visiter une version similaire des sites Web populaires qui apparaissent dans une fenêtre d’installation d’extension de Chrome est l’un des modes de fonctionnement les plus courants des cybercriminels pour propager des logiciels malveillants.

Les chercheurs en sécurité avertissent à nouveau les utilisateurs d’une nouvelle campagne de logiciels malveillants qui est active depuis au moins mars de cette année et qui a déjà infecté plus de 100 000 utilisateurs dans le monde.

Surnommé Nigelthorn, le malware se propage rapidement via des liens socialement conçus sur Facebook et infecte les systèmes des victimes avec des extensions de navigateur malveillants qui volent leurs informations d’identification de médias sociaux, installent des mineurs cryptomonnaie et les impliquent dans la fraude au clic.

Le logiciel malveillant a été diffusé via au moins sept extensions de navigateur Chrome différentes, toutes hébergées sur le Chrome Web Store officiel de Google.

Ces extensions de navigateur Chrome malveillantes ont été découvertes par des chercheurs de la société de cybersécurité Radware, après qu’un « réseau bien protégé » d’un de ses clients, une entreprise de fabrication mondiale anonyme, ait été compromis.

Selon un rapport publié par Radware, les opérateurs de logiciels malveillants utilisent des copies d’extensions Google Chrome légitimes et leur injectent un court script malveillant dissimulé pour contourner les contrôles de validation d’extension de Google.

Les chercheurs ont nommé le malware "Nigelthorn" après l’une des extensions malveillantes qui était la copie de l’extension populaire "Nigelify" conçue pour remplacer toutes les images sur une page Web avec des gifs de ’Nigel Thornberry’.

Nigelthorn se propage à travers des liens envoyés sur Facebook

Nigelthorn se propage à travers des liens socialement conçus sur Facebook, qui, si l’on clique dessus, redirige les victimes vers une fausse page YouTube, en leur demandant de télécharger une extension Chrome malveillante, pour continuer à lire la vidéo.

Une fois installée, l’extension exécute un code JavaScript malveillant qui fait partie des ordinateurs des victimes d’un botnet.

Un malware similaire, baptisé Digimine , a émergé l’année dernière qui a également envoyé des liens sociaux sur Facebook Messenger et installé une extension malveillante, permettant aux pirates d’accéder au profil Facebook des victimes et de diffuser le même malware sur leur liste d’amis via Messenger.

Nous avons récemment écrit sur une autre campagne similaire, baptisée FacexWorm , qui a également été distribuée en envoyant des liens socialement conçus sur Facebook Messenger et redirigé les utilisateurs vers une fausse page YouTube, leur demandant d’installer une extension Chrome malveillante.

NigelThorn vole le mot de passe pour les comptes Facebook / Instagram
Le nouveau malware se concentre principalement sur le vol de justificatifs d’identité pour les comptes Facebook et Instagram des victimes et la collecte de détails sur leurs comptes Facebook.

Cette information volée est ensuite utilisée pour envoyer des liens malveillants à des amis de la personne infectée dans le but de pousser plus loin les mêmes extensions malveillantes. Si l’un de ces amis clique sur le lien, l’ensemble du processus d’infection recommence.

NigelThorn télécharge également un outil d’extraction de crypto-monnaie basé sur un navigateur accessible au public en tant que plugin pour déclencher le démarrage des systèmes infectés, y compris Monero, Bytecoin ou Electroneum.

Au cours de la période de seulement 6 jours, les attaquants ont semblé générer environ 1000 $ en cryptocurrencies, principalement Monero.

Nigelthorn est également persistant pour empêcher les utilisateurs de supprimer les extensions malveillantes, il ferme automatiquement l’onglet extension malveillante chaque fois que l’utilisateur ouvre il empêche la suppression.

Le logiciel malveillant liste également une série d’outils de nettoyage offerts par Facebook et Google et empêche même les utilisateurs d’apporter des modifications, de supprimer des publications et de faire des commentaires.

Liste des extensions Chrome malveillantes

Voici le nom des sept extensions se faisant passer pour des extensions légitimes :

  • Nigelify
  • PwnerLike
  • Alt j
  • Fix-case
  • Divinité 2 Péché originel : Wiki Skill Popup
  • Keeprivate
  • iHabno

Bien que Google ait supprimé toutes les extensions répertoriées ci-dessus, si vous en avez installé un, vous devez le désinstaller immédiatement et modifier les mots de passe de votre compte Facebook, Instagram et d’autres comptes sur lesquels vous utilisez les mêmes informations d’identification.

Les campagnes Facebook Spam étant assez courantes, il est conseillé aux utilisateurs d’être vigilants lorsqu’ils cliquent sur les liens et les fichiers fournis via la plate-forme de sites de médias sociaux.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 29 |

Actu en image