Si Google Chrome affiche une erreur vous invitant à recopier un correctif, faites très attention, il s’agit d’un script qui installera des malwares sur votre machine ! Cette nouvelle méthode de distribution des malwares vise également les utilisateurs de Word et OneDrive.
Google Chrome est une nouvelle fois visé par une campagne de distribution de malwares. Le navigateur internet n’est pas le seul logiciel employé par les pirates : de fausses erreurs d’exécution se faisant passer pour Word et OneDrive incitent aussi les utilisateurs à recopier de soi-disant correctifs dans la console de Windows. Il s’agit en réalité de scripts PowerShell qui installent des logiciels malveillants.
Un nouvelle manière de distribuer des malwares découverte
La société de cybersécurité Proofpoint que cette nouvelle manière de distribuer des chevaux de Troie et autres virus est actuellement employée par plusieurs acteurs de la menace :
- Le pirates à l’origine ClearFake.
- ClickFix, un nouveau groupe dans le monde du cybercrime.
- TA571, un ou des cybercriminels connus pour leurs distributions XXL de spam.
Ces groupes utilisent tout d’abord des sites web compromis pour mener leurs attaques. En ouvrant ces pages web, Google Chrome, Word ou OneDrive affiche alors une étrange erreur. La boite de dialogue indique alors au visiteur que pour corriger le problème, il doit cliquer sur sur un bouton pour copier un “correctif” dans le presse-papier.
La victime est ensuite invitée à le coller et à l’exécuter dans une console de commande Windows Powershell. Celle-ci se lance automatiquement en mode administrateur, ouvrant la voie à tous les abus. Cela lance alors un script malveillant hébergé sur la blockchain via les contrats Smart Chain de Binance.
À lire > Google Chrome va bientôt espionner votre historique de navigation
Google Chrome est visé par les pirates à cause de sa popularité
Cette nouvelle méthode d’attaque “nécessite une interaction significative avec l’utilisateur pour réussir“, indique Proofpoint. L’entreprise souligne toutefois que “l’ingénierie sociale est suffisamment habile pour présenter simultanément à un utilisateur ce qui ressemble à un problème réel et une solution, ce qui peut inciter à agir sans tenir compte du risque“.
Les charges utiles lancées via ces scripts comprennent :
- DarkGate, un malware extrêmement dangereux déjà distribué via cette campagne de phishing sur Microsoft Teams.
- Matanbuchus
- NetSupport
- Amadey Loader
- XMRig
- Lumma Stealer, qui n’en est pas à son coup d’essai sur Google Chrome.
Avec sa position ultra-dominante sur le marché des navigateur internet, Google Chrome attire forcément davantage de personnes malintentionnées. Pendant ce temps, Firefox fait des appels du pied aux éventuels déçus.
- Une nouvelle méthode de distribution de malwares vise les utilisateurs de Google Chrome, Word et OneDrive.
- Les pirates affichent de fausses erreurs se faisant passer pour Chrome, avec un soit-disant correctif inclu.
- Copier coller ce qui cahce un script dans la console de commande Windows lance le chargement de malwares.
