Les programmes malveillants peuvent se dissimuler là où on les attend le moins, y compris sur des plateformes réputées fiables. Les experts en cybersécurité de Huntress ont récemment découvert une nouvelle arnaque visant les utilisateurs de navigateurs Chromium, comme Google Chrome ou Microsoft Edge. En se faisant passer pour une extension de blocage de publicités, NexShield exploitait la confiance des internautes pour prendre le contrôle de leur ordinateur et siphonner leurs données personnelles.

Un faux air de légitimité pour mieux tromper

À première vue, NexShield a tout d’un bloqueur de publicités classique. Un temps disponible sur le Chrome Web Store, l’outil disposait même de son propre site internet et se présentait comme une alternative inspirée du très populaire uBlock Origin. Problème : une grande partie de son code était directement copiée sur celui de l’extension légitime, allant jusqu’à attribuer faussement sa création à Raymond Hill, le véritable développeur d’uBlock Origin.

Pour endormir la méfiance, NexShield fonctionne normalement pendant environ une heure, bloquant effectivement les publicités. Puis l’extension déclenche volontairement un crash du navigateur via une attaque par déni de service. Au redémarrage, une fausse fenêtre d’erreur apparaît, incitant l’utilisateur à "scanner" son ordinateur en copiant une commande dans le terminal Windows. C’est à ce moment-là que le piège se referme.

Un cheval de Troie capable de tout contrôler

Une fois la commande exécutée, l’ordinateur est infecté par le cheval de Troie "ModeloRat". Ce malware est particulièrement dangereux, car il peut télécharger et installer des fichiers exécutables, lancer des commandes PowerShell, s’inscrire durablement dans le registre Windows et même se mettre à jour pour échapper aux tentatives de suppression. Résultat, les données personnelles de la victime peuvent être récupérées à son insu.

Que faire si vous avez installé NexShield ?

Si vous avez récemment installé l’extension NexShield, la prudence est de mise. Les spécialistes recommandent de la désinstaller immédiatement, puis de lancer une analyse complète du système avec un antivirus fiable. Dans certains cas, une réinstallation complète de Windows peut être nécessaire pour éliminer toute trace du malware.

Ne jamais faire confiance aux commandes inconnues

Cette méthode d’infection, surnommée "CrashFix", rappelle d’autres attaques basées sur de fausses alertes ou mises à jour incitant les internautes à coller des commandes dans le terminal. Le conseil reste inchangé : ne faites jamais confiance à une commande qui apparaît spontanément sur votre ordinateur, même si elle semble provenir d’un outil ou d’une extension légitime.

Avec la popularité croissante des bloqueurs de publicités, les cybercriminels redoublent d’ingéniosité pour piéger les utilisateurs les moins vigilants. Une raison de plus pour redoubler de prudence avant d’installer la moindre extension sur son navigateur.

Et si vous voulez tester vos connaissances en termes de cybersécurité, essayez notre quiz pour savoir si vous appliquez les bonnes pratiques en ligne !

Source : Frandroid