Selon un chercheur en sécurité Rintaro Koike (s’ouvre dans un nouvel onglet)les pirates ont écrasé des pages Web légitimes avec de faux messages de mise à jour de Chrome conçus pour installer des logiciels malveillants qui peuvent échapper à la détection antivirus – et pire encore.
Observé initialement à partir de novembre 2022, Koike explique que la campagne d’attaque est devenue active en février 2023, ciblant principalement des sites Web japonais ainsi que certains orientés vers ceux en coréen et en espagnol.
Après avoir dépassé sa localisation japonaise, les chercheurs soupçonnent qu’il pourrait continuer à se propager, s’adapter et évoluer, avertissant les autres utilisateurs d’Internet des menaces potentielles.
Faux malware de mise à jour de Google Chrome
Les sites Web compromis ont un code JavaScript qui exécute des scripts pour déterminer les cibles. Les résultats positifs conduisent à une page qui avertit d’une « exception de mise à jour ». Ça lit:
« Une erreur s’est produite dans la mise à jour automatique de Chrome. Veuillez installer le package de mise à jour manuellement plus tard ou attendez la prochaine mise à jour automatique.
Le manque d’urgence joue en fait en faveur des acteurs de la menace, aidant l’escroquerie de logiciels malveillants à se démarquer moins par rapport aux autres escroqueries.
Un fichier .zip déguisé en mise à jour Chrome est ensuite installé, mais au lieu d’une mise à jour Chrome légitime, le fichier contient un mineur Monero conçu pour exploiter la crypto-monnaie aux dépens du processeur de la victime.
Selon la recherche, le mineur s’exclut des paramètres de Windows Defender, suspend les services Windows Update et réécrit les fichiers hôtes pour compromettre les outils de détection des menaces comme les logiciels antivirus, l’aidant à voler sous le radar.
Ne montrant aucun signe d’arrêt, le code serait compatible avec plus de 100 langues, ce qui présente une menace potentiellement importante pour l’avenir.
Aux côtés d’adéquat suppression des logiciels malveillants, les internautes sont déconseillés de télécharger des logiciels à partir de popups ; ils doivent plutôt revisiter la page directement à partir du site Web légitime de l’entreprise.
Il convient également de noter que Chrome gère généralement les mises à jour via un programme de mise à jour intégré et qu’il n’est pas nécessaire de télécharger des packages supplémentaires à partir d’un site Web.