Google Chrome a eu un parcours difficile cette année. En mai dernier, le navigateur développé par Google a souffert d’au moins quatre vulnérabilités zero-day, toutes corrigées par Google dans des délais assez rapides, forçant ainsi les utilisateurs de Chrome à effectuer des mises à jour très fréquemment. Cependant, une nouvelle exploitation semble circuler, et c’est une menace plutôt astucieuse.
Selon un nouveau rapport de ProofPoint, la dernière tentative visant à inciter les utilisateurs de Chrome à installer des logiciels malveillants sur leur ordinateur se présente sous la forme de fausses erreurs. Ces fausses erreurs peuvent également apparaître en tant qu’erreurs Word et OneDrive, rapporte la société de sécurité.
La campagne est utilisée par plusieurs acteurs malveillants, y compris le groupe derrière une nouvelle attaque appelée ClickFix, ainsi que ceux responsables d’attaques existantes comme ClearFake. On pense également que l’acteur malveillant bien connu TA571 est impliqué. Tout comme les précédentes attaques ClearFake – qui utilisaient des superpositions de sites pour inciter les visiteurs à installer de fausses mises à jour de navigateur chargées de logiciels malveillants – la nouvelle menace provoque l’apparition d’une fenêtre contextuelle à l’écran, incitant les utilisateurs à résoudre un problème avec leur navigateur.
Crédit : ProofPoint
Les instructions incluses dans la fausse erreur Chrome suggèrent aux utilisateurs de cliquer sur un bouton « copier », puis de coller un « correctif » dans leur application Windows Powershell – tout en l’exécutant en tant qu’Administrateur. C’est une très mauvaise nouvelle, car cela donne à la commande copiée un accès complet à votre ordinateur.
ProofPoint indique que la commande vérifie si l’ordinateur est une cible viable, puis ouvre essentiellement les vannes pour installer divers logiciels malveillants. Un des téléchargements principaux inclus dans le paquet est un voleur d’informations, qui peut recueillir vos informations personnelles pour les acteurs malveillants, leur permettant de les utiliser comme bon leur semble.
ProofPoint a également déclaré que le logiciel malveillant est propagé via une chaîne d’infection par e-mail, qui utilise une pièce jointe HTML prétendant être une extension Word Online. En essayant de l’ouvrir, un message d’erreur s’affichera, vous demandant de compléter les mêmes étapes que l’erreur de Chrome. Les fonctionnalités de la commande sont un peu différentes, note ProofPoint, mais l’objectif global reste le même : installer des logiciels malveillants sur votre ordinateur afin que de mauvais acteurs puissent récolter vos données.
Des messages légitimes de Chrome ou de Microsoft Word ne vous demanderont jamais de coller quoi que ce soit dans Windows Powershell. Si vous êtes inquiet à l’idée d’être déjà infecté, exécutez un scan antivirus ou anti-malware dès que possible.
