Ce bloqueur de pub est dangereux : il plante votre navigateur pour voler vos données personnelles
Attention à ce que vous téléchargez ! Ce bloqueur de pub diffusé sur le Chrome Web Store fait planter votre navigateur de façon répétée pour vous piéger afin de s'emparer de vos données personnelles. Un procédé vicieux !
Les bloqueurs de publicité – ad blockers en anglais – sont des outils très appréciés des internautes. Et pour cause : ces applications ou extensions de navigateur Internet détectent les codes publicitaires dans les pages et les bloquent automatiquement avant qu'ils n'aient le temps de charger et d'afficher les publicités. Il s'agit d'un excellent moyen de rendre sa navigation beaucoup plus agréable, sans être constamment assailli par des dizaines de pop-up et autres bannières invasives, mais aussi de protéger davantage ses informations personnelles car les publicités sont toujours associés à des traqueurs qui pistent les utilisateurs. Pour autant, tous ne se valent pas, et certains peuvent même s'avérer dangereux.
Les chercheurs de la société de sécurité Huntress ont découvert une extension nommée NexShield pour Chrome et les navigateurs compatibles comme Edge et un temps hébergée sur le Chrome Web Store – où elle a été téléchargée par milliers –, qui fait partie d'une vaste campagne de piratage. Présenté comme léger, performant et respectueux de la vie privée, ce bloqueur de publicité reprend presque intégralement le code d'uBlock Origin – la référence en la matière–, dont il se présente comme la version allégée afin de se donner de la légitimité. Mais, en réalité, cette extension provoque volontairement le plantage du navigateur.
Son fonctionnement est particulièrement vicieux. Au début, NexShield bloque bel et bien les publicités. La partie malveillante de l'extension n'est exécutée qu'au bout de 60 minutes après l'installation, afin de brouiller les pistes et d'empêcher la victime de deviner l'origine du problème. Elle commence alors à surcharger les ressources du navigateur en ouvrant un très grand nombre de processus ou connexions internes, jusqu'à saturer la mémoire vive de l'ordinateur. Cette surcharge entraîne des plantages fréquents et rend Chrome complètement inutilisable. C'est ce qu'on appelle une attaque par déni de service (DoS).
Lorsque le navigateur plante et que l'utilisateur le relance, une fausse alerte s'affiche, prétendant détecter un problème technique grave. Cette alerte est conçue pour effrayer et convaincre l'utilisateur qu'une réparation est nécessaire. Le message invite alors à exécuter une commande sur l'ordinateur pour "corriger" la situation. Ce code malveillant a déjà été copié dans le presse-papiers par l'extension. Si l'utilisateur suit ces instructions, il déclenche l'installation d'un logiciel malveillant. Et pour être sûr qu'il le fasse, NexShield est programmé pour entraîner des crashs répétés du navigateur en cas de refus, afin de lui forcer la main.
Cette manœuvre a pour conséquence d'installer sur l'appareil un cheval de Troie appelé ModeloRAT. Ce type de malware donne à des pirates la possibilité de prendre le contrôle de l'ordinateur infecté, d'accéder aux fichiers, de surveiller l'activité, d'installer d'autres logiciels malveillants ou même d'extraire des données. Les chercheurs ont observé que les cybercriminels ciblent en priorité les machines liées à des réseaux d'entreprise.
Alerté par Huntress, Google a supprimé depuis l'extension NexShield du Chrome Web Store. Toutefois, les personnes qui l'avaient déjà installée doivent procéder à un nettoyage complet de leur système, car une simple désinstallation ne supprime pas forcément toutes les charges utiles.