Des extensions Chrome volent des mots de passe et se propagent grâce à Facebook

L'un des modes opératoires les plus courants des cybercriminels pour répandre des logiciels malveillants est d'attirer les utilisateurs sur les médias sociaux pour qu'ils visitent une version ressemblante à des sites Web populaires. Ces "faux-sites" font apparaître une fenêtre d'installation d'extension Chrome d'apparence légitime.

Les chercheurs en sécurité avertissent à nouveau les utilisateurs d'une nouvelle campagne de programmes malveillants qui est active depuis au moins mars 2018 et qui a déjà infecté plus de 100 000 utilisateurs dans le monde.

Surnommé Nigelthorn, le malware se propage rapidement par le biais de liens sociaux conçus sur Facebook. Il infecte les systèmes des victimes avec des extensions de navigateur malveillantes. Ces extensions volent leurs identifiants de médias sociaux, installent des "mineurs de cryptocurrency" et les engagent dans une fraude au clic.

Ce malware a été poussé à travers au moins sept extensions de navigateur Chrome différentes, toutes hébergées sur la boutique en ligne officielle Chrome de Google.

Ces extensions malveillantes de navigateur Chrome ont été découvertes pour la première fois par des chercheurs de la société de cybersécurité Radware, après qu'un "réseau bien protégé" d'un de leurs gros clients (une entreprise manufacturière mondiale anonyme) ait été compromis. Selon un rapport publié par Radware, les opérateurs de malwares utilisent des copies d'extensions Google Chrome légitimes et y injectent un court script malveillant pour contourner les contrôles de validation des extensions Google.

Les chercheurs ont nommé ce logiciel "Nigelthorn" . C'est la copie de l'extension populaire "Nigelify" conçue pour remplacer toutes les images sur une page Web par des gifs de "Nigel Thornberry".

Nigelthorn se propage grâce aux liens envoyés sur Facebook

Nigelthorn se propage par le biais de liens envoyés sur Facebook qui, s'ils sont cliqués, redirigent les victimes vers de fausses pages YouTube, leur demandant de télécharger une extension Chrome malveillante, pour continuer à lire la vidéo. 

Une fois installée, l'extension exécute un code JavaScript malveillant qui intègre les ordinateurs des victimes dans un botnet.

Un malware similaire, surnommé Digimine, est apparu l'année dernière. Il a lui aussi fonctionné en envoyant des liens conçus sur Facebook. Ce malware installait également une extension malveillante, permettant aux attaquants d'accéder au profil Facebook des victimes.Une fois le profil Facebook atteint, ce logiciel partageait le lien contaminé aux "amis" de la victime.

N'oublions pas FacexWorm (une campagne identique), qui procédait de la même manière. Une fois le lien cliqué, les utilisateurs étaient redirigés vers une fausse page YouTube, leur demandant d'installer une extension Chrome malveillante.

NigelThorn vole le mot de passe pour les comptes Facebook/Instagram

NigelThorn se concentre principalement sur le vol des identifiants des comptes Facebook et Instagram des victimes et sur la collecte des détails de leurs comptes Facebook.

Les informations volées sont ensuite utilisées pour envoyer des liens à des amis de la personne infectée dans le but de pousser les mêmes extensions malveillantes plus loin. Si l'un de ces amis clique sur le lien, tout le processus d'infection recommence.

NigelThorn télécharge également un outil de "cryptocurrency mining" accessible au public, basé sur un navigateur, sous forme de plugin. Cela permet d'extraire les cryptocurrences, notamment Monero, Bytecoin ou Electroneum.

En l'espace de seulement 6 jours, les attaquants ont semblé générer environ 1 000 $ en cryptocurrences, principalement Monero.

Nigelthorn est persistant car pour empêcher les utilisateurs de supprimer les extensions malveillantes, il ferme automatiquement l'onglet des extensions malveillantes. En bref, à chaque fois que l'utilisateur ouvre l'onglet, Nigeltorn empêche la suppression.

Ce "SIDA virtuel" liste également une variété d'outils de nettoyage offerts par Facebook et Google et empêche même les utilisateurs de faire des modifications, de supprimer des messages et de faire des commentaires.

Voici le nom des sept extensions se faisant passer pour des extensions légitimes :

• Nigelify
• PwnerLike
• Alt-j
• Fix-case
• Divinity 2 Original Sin: Wiki Skill Popup
• Keeprivate
• iHabno

Bien que Google ait supprimé toutes les extensions mentionnées, si vous avez installé l'une d'entre elles, il faut la désinstaller immédiatement et changer les mots de passe de votre compte Facebook, Instagram et d'autres comptes pour lesquels vous utilisez les mêmes identifiants.

Les campagnes de spam sur Facebook étant assez courantes, il est conseillé aux utilisateurs d'être vigilants lorsqu'ils cliquent sur les liens et les fichiers fournis via la plate-forme de sites de médias sociaux.