Ce nouveau ransomware vole les données enregistrées dans Google Chrome
Qilin, un nouveau ransomware redoutable, s'attaque aux données personnelles enregistrées dans Google Chrome, y compris les identifiants de connexion. Pire encore, il est capable d'infecter tous les appareils d'un même réseau.
Même s'il fait l'objet d'évolutions et d'améliorations constantes, Google Chrome n'échappe pas aux problèmes de tous les logiciels, et notamment aux fameuses failles de sécurité, ces "petits défauts" qui échappent à la vigilance des développeurs. Et comme c'est le navigateur Web le plus utilisé au monde, il constitue une cible de choix pour les cybercriminels, qui redoublent d'ingéniosité pour infecter les appareils des internautes et s'emparer de leurs données personnelles. La dernière menace en date : le ransomware (ou rançongiciel en français) Qilin, qui introduit une nouvelle tactique inquiétante, à savoir le déploiement d'un voleur personnalisé. Cette évolution, observée par les équipes de Sophos X-Ops, signifie que le malware peut non seulement voler les données des victimes, mais aussi récolter les informations d'identification stockées dans le navigateur Google Chrome sur leurs terminaux, ce qui n'a jamais été observé auparavant.
Qilin : une nouvelle façon de récolter les identifiants Chrome
Pour rappel, un ransomware est un logiciel malveillant développé par des pirates pour soutirer de l'argent aux victimes. Une fois installé sur l'ordinateur, le malware prend en otage les données qu'il contient. Il chiffre tout ou partie du contenu de l'appareil, notamment des éléments clés du système d'exploitation et, surtout, les données et fichiers personnels (documents, photos, vidéos, messages, etc.). Tous ces fichiers se retrouvent verrouillés et inaccessibles pour leur propriétaire. Pour en retrouver l'usage, la victime est sommée de payer une rançon, généralement en cryptomonnaie afin de ne laisser aucune trace de la transaction, faute de quoi ses fichiers seront définitivement détruits. Une fois la rançon payée, le pirate est censé fournir la clé permettant de déchiffrer les données et de reprendre le contrôle… à condition qu'il tienne parole !
Les pirates ont d'abord obtenu l'accès à l'infrastructure informatique d'une organisation via des identifiants compromis récupérés sur un portail VPN dépourvu d'authentification à double facteur. Puis, 18 jours plus tard, ils ont commencé à se déplacer pour accéder aux données stockées dans le navigateur, notamment les identifiants de connexion et autres informations sensibles. La technique de Qilin est particulièrement alarmante, car elle s'applique à toutes les machines du réseau. Cela signifie que chaque appareil sur lequel un utilisateur se connecte est soumis au processus de collecte d'identifiants. De ce fait, la menace persiste même après la résolution de l'incident initial avec le ransomware. Les informations dérobées peuvent ensuite être utilisées pour accéder à d'autres systèmes ou être revendues sur le Dark Web.
Pour se protéger de cette nouvelle menace, les experts en sécurité recommandent d'adopter l'authentification à double facteur (2FA), qui aurait probablement suffi à empêcher Qilin d'accéder au système dans le cas ici étudié. Un gestionnaire de mots de passe peut également s'avérer utile, à condition que celui-ci ne se fasse pas à son tour pirater ou qu'il ne soit pas victime d'un bug. Récemment, des millions d'utilisateurs de Chrome ont perdu l'accès aux mots de passe qu'ils avaient enregistrés dans le navigateur de Google à cause d'un gros bug du gestionnaire (voir notre article).