Attirer les utilisateurs sur les médias sociaux pour qu’ils visitent une version ressemblante de sites Web populaires qui font apparaître une fenêtre d’installation d’extension Chrome d’apparence légitime est l’un des modes opératoires les plus courants des cybercriminels pour répandre des logiciels malveillants.
Les chercheurs en sécurité avertissent à nouveau les utilisateurs d’une nouvelle campagne de programmes malveillants qui est active depuis au moins mars de cette année et qui a déjà infecté plus de 100 000 utilisateurs dans le monde.
Surnommé Nigelthorn, le malware se propage rapidement par le biais de liens socialement conçus sur Facebook et infecte les systèmes des victimes avec des extensions de navigateur malveillantes qui volent leurs identifiants de médias sociaux, installent des mineurs de cryptocurrency et les engagent dans une fraude au clic.
Le logiciel malveillant a été poussé à travers au moins sept extensions de navigateur Chrome différentes, toutes hébergées sur la boutique en ligne officielle Chrome de Google.
Ces extensions malveillantes de navigateur Chrome ont été découvertes pour la première fois par des chercheurs de la société de cybersécurité Radware, après qu’un « réseau bien protégé » d’un de ses clients, une entreprise manufacturière mondiale anonyme, ait été compromis.
Selon un rapport publié par Radware, les opérateurs de logiciels malveillants utilisent des copies d’extensions Google Chrome légitimes et y injectent un court script malveillant obscurci pour contourner les contrôles de validation des extensions Google.
Les chercheurs ont nommé le logiciel malveillant « Nigelthorn » d’après l’une des extensions malveillantes qui était la copie de l’extension populaire « Nigelify » conçue pour remplacer toutes les images sur une page Web par des gifs de « Nigel Thornberry ».
Nigelthorn se propage grâce aux liens envoyés sur Facebook
Nigelthorn se propage par le biais de liens socialement conçus sur Facebook qui, s’ils sont cliqués, redirigent les victimes vers de fausses pages YouTube, leur demandant de télécharger une extension Chrome malveillante, de continuer à lire la vidéo.
Une fois installée, l’extension exécute un code JavaScript malveillant qui intègre les ordinateurs des victimes dans un botnet.
Un logiciel malveillant similaire, surnommé Digimine, est apparu l’année dernière, qui a également fonctionné en envoyant des liens socialement conçus sur Facebook Messenger et a installé une extension malveillante, permettant aux attaquants d’accéder au profil Facebook des victimes et de diffuser le même logiciel malveillant sur la liste de leurs amis via Messenger.
Il y a également une campagne similaire, baptisée FacexWorm, qui a également été distribuée en envoyant des liens socialement conçus sur Facebook Messenger et en redirigeant les utilisateurs vers une fausse page YouTube, leur demandant d’installer une extension Chrome malveillante.
NigelThorn vole le mot de passe pour les comptes Facebook/Instagram
Le nouveau logiciel malveillant se concentre principalement sur le vol des identifiants des comptes Facebook et Instagram des victimes et sur la collecte des détails de leurs comptes Facebook.
Ces informations volées sont ensuite utilisées pour envoyer des liens malveillants à des amis de la personne infectée dans le but de pousser les mêmes extensions malveillantes plus loin. Si l’un de ces amis clique sur le lien, tout le processus d’infection recommence.
NigelThorn télécharge également un outil de cryptocurrency mining accessible au public, basé sur un navigateur, sous forme de plugin pour déclencher les systèmes infectés à commencer à extraire les cryptocurrences, notamment Monero, Bytecoin ou Electroneum.
En l’espace de seulement 6 jours, les attaquants ont semblé générer environ 1 000 $ en cryptocurrences, principalement Monero.
Nigelthorn est également persistant car pour empêcher les utilisateurs de supprimer les extensions malveillantes, il ferme automatiquement l’onglet des extensions malveillantes chaque fois que l’utilisateur ouvre, il empêche la suppression.
Le logiciel malveillant liste également une variété d’outils de nettoyage offerts par Facebook et Google et empêche même les utilisateurs de faire des modifications, de supprimer des messages et de faire des commentaires.
Liste des extensions Chrome malveillantes
Voici le nom des sept extensions se faisant passer pour des extensions légitimes :
- Nigelify
- PwnerLike
- Alt-j
- Fix-case
- Divinity 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
Bien que Google ait supprimé toutes les extensions susmentionnées, si vous avez installé l’une d’entre elles, nous vous conseillons de la désinstaller immédiatement et de changer les mots de passe de votre compte Facebook, Instagram et d’autres comptes pour lesquels vous utilisez les mêmes identifiants.
Les campagnes de spam sur Facebook étant assez courantes, il est conseillé aux utilisateurs d’être vigilants lorsqu’ils cliquent sur les liens et les fichiers fournis via la plate-forme de sites de médias sociaux.
