Une extension malveillante de Google Chrome vole toute donnée postée en ligne par la victime

Une nouvelle extension Google Chrome mise en ligne la semaine dernière est utilisée pour capturer toute donnée postée en ligne par la victime.

Pour se propager, un malware est envoyé via un courrier électronique écrit en portugais. Le courrier a pour objet la récupération de photos concernant un événement et contient un lien cliquable permettant de télécharger un fichier exécutable du nom de « whatsapp.exe ». Ce fichier est un fichier compressé de 9.5 Mo contenant plus de 200 Mo de données une fois décompressé.

Cette attaque, contrairement aux captures de données ordinaires, ne surveille pas l’activité du navigateur à la recherche de sites spécifiques pour y extraire des identifiants. La victime peut communiquer avec un site légitime au moment où l’extension capture les données sur le navigateur. Il n’est pas possible de se protéger via le chiffrement SSL ou TLS puisque les données sont capturées localement au niveau du navigateur de la victime avant d’être envoyées via HTTPS.

Une analyse du code source du malware prouve que le code est intentionnellement rendu volumineux pour tenter de contourner les mécanismes antiviraux qui détectent ce type de fichiers. Après décompression, l’un des fichiers tente de désactiver le pare-feu Windows et d’arrêter les processus Google Chrome afin d’installer l’extension malveillante. Les données capturées comportent, entre autres, le nom de victime, l’adresse mail et son mot de passe. Pour envoyer ces informations, l’extension établit des connexions Ajax et jQuery vers le serveur de contrôle ayant comme url hxxps://agenziapetra[dot]com:1515/

Les attaques d’ingénierie sociale sont communes et pour se protéger, il est recommandé d’être vigilant vis-à-vis des mails non sollicités et de suivre les recommandations de l’ANSSI à ce sujet : https://www.ssi.gouv.fr/entreprise/precautions-elementaires/5-reflexes-…