Une extension Chrome siphonne les comptes Gmail

Un nouveau mode opératoire a été créé par des pirates nord-coréens pour espionner des PC du monde entier, notamment aux États-Unis et en Europe. Surveillez vos extensions Chrome de très près !

Des pirates travaillant pour le compte de la Corée du Nord ont imaginé un moyen astucieux pour obtenir l’accès aux messages Gmail de leurs victimes. Via une campagne d’hameçonnage élaborée, ils parviennent à faire installer une extension nommée SHARPEXT pour Chrome et pour Edge, tous deux pouvant accueillir les mêmes extensions (ce sont deux navigateurs fonctionnant avec le moteur Chromium).

Les installations nucléaires premières visées
Une fois l’extension téléchargée et installée, la charge virale du malware peut se propager dans le PC. Ce dernier exécute en particulier un script Powershell qui lui permet d’exécuter du code arbitraire via l’activation des DevTools, un ensemble d’outils normalement destinés aux développeurs.

Le logiciel malveillant est en mesure de détecter tous les processus liés aux navigateurs web, notamment les onglets et leurs titres. Dès qu’un mot-clé apparaît dans le titre de l’onglet, le malware peut extraire tout ce qui trouve dans la page web. D’après Volexity qui a le premier repéré le logiciel, celui-ci cherche à collecter les informations de connexion aux comptes Gmail.

Il est par ailleurs en mesure de s’éviter l’effort de fouiller dans une page web grâce à l’ajout d’adresses sur une liste noire. Selon les chercheurs en sécurité, l’extension existe depuis plus d’un an, et vise en particulier des agences gouvernementales en Corée du Sud, aux États-Unis et en Europe. Les pirates s’intéressent plus précisément aux installations nucléaires…

L’extension en question n’est évidemment pas disponible dans le magasin officiel de Chrome. La campagne de phishing vise justement à pousser les victimes à l’installer de leur plein gré. Pour ces raisons, il est difficile de s’en prémunir, alors comme toujours la prudence et la méfiance sont donc plus que jamais de mise !

01net

You may like