Les comptes Gmail sont attaqués par un extension de navigateur malveillante se propagent via des e-mails de phishing qui ciblent Google Chrome, Microsoft Edge et d’autres navigateurs basés sur Chromium.
Une fois installée dans votre navigateur, cette extension malveillante est capable de voler le contenu de vos messages Gmail et même d’infecter le meilleurs téléphones Android avec des logiciels malveillants, mais plus à ce sujet plus tard.
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet)la campagne elle-même a été repérée par l’Office fédéral allemand pour la protection de la Constitution et le Service national de renseignement de Corée du Sud, qui ont tous deux publié une déclaration conjointe mettant en garde les autres à ce sujet.
Les cybercriminels à l’origine de la campagne sont originaires de Corée du Nord et le groupe de menaces Kimsuky (alias Thallium, Velvet Chollima) a l’habitude d’utiliser hameçonnage pour cyber-espionnage dans des attaques visant des diplomates, des journalistes, des agences gouvernementales, des politiciens et des professeurs d’université. Cependant, alors que la campagne a commencé en Corée du Sud, elle s’est maintenant étendue aux États-Unis et à l’Europe.
Même si vous n’avez pas d’emploi de haut niveau, vous pourriez finir par installer accidentellement cette extension malveillante et voir votre compte Gmail compromis, c’est pourquoi nous devons tous rester vigilants en ligne.
Se propager via des e-mails de phishing
L’attaque commence par un e-mail d’hameçonnage exhortant les victimes potentielles à installer une extension Chrome, bien qu’elle puisse également être installée dans Microsoft Edge, Brave et d’autres navigateurs basés sur Chromium si un utilisateur mord à l’hameçon.
L’extension s’appelle « AF » et contrairement aux extensions normales, elle ne peut pas être trouvée dans la section Plus d’outils de Chrome sous les extensions. Au lieu de cela, vous devez taper manuellement « chrome(or edge/brave)://extensions » dans la barre d’adresse de votre navigateur pour le trouver.
Une fois installé cependant, il s’active automatiquement et commence à intercepter/voler le contenu des e-mails de votre compte Gmail. Cela se fait en abusant de l’API Devtools dans votre navigateur et en l’utilisant pour renvoyer toutes ces données volées à un serveur contrôlé par les pirates.
D’abord votre Gmail, puis votre smartphone
Si faire lire vos messages Gmail par des pirates n’était pas assez grave, le groupe de pirates Kimsuky a aussi son propre Logiciels malveillants Android connu sous le nom de FastViewer, Fastfire ou Fastspy DEX.
Une fois que votre compte Gmail est entre les mains de ces pirates, ils utilisent ensuite la fonction de synchronisation Web-téléphone de Google Play pour installer des applications de votre ordinateur sur votre smartphone afin d’infecter les téléphones des victimes avec le logiciel malveillant.
Le malware FastViewer est un cheval de Troie d’accès à distance (RAT) qui permet aux pirates de déposer, créer, supprimer ou voler des fichiers ainsi que de récupérer vos contacts, passer des appels, envoyer des SMS, allumer votre appareil photo, enregistrer vos frappes et plus encore. Qu’il suffise de dire que ce malware est incroyablement dangereux et pourrait être utilisé pour le chantage ou même pour voler votre identité.
Comment se protéger des extensions malveillantes
Avec cette extension malveillante en particulier, c’est une bonne idée d’entrer soit « chrome:extensions », « edge:extensions » ou « brave:extensions » selon votre navigateur pour voir si vous l’avez installé. Si vous le faites, vous devez le supprimer immédiatement et envisager d’utiliser le meilleur logiciel antivirus pour exécuter une analyse de votre système juste pour être sûr.
De même, vous devez également installer l’une des meilleures applications antivirus Android et activer Google Play Protect sur votre smartphone pour vous protéger du malware FastViewer. Même si ce n’est pas le cas, une application antivirus Android vaut certainement la peine d’avoir sur votre smartphone maintenant que les logiciels malveillants mobiles sont devenus si répandus.
Pour éviter les extensions malveillantes en premier lieu, n’installez jamais une extension ou un autre logiciel qui vous est envoyé par e-mail. Vous voulez également éviter d’ouvrir les e-mails d’expéditeurs inconnus ainsi que télécharger des pièces jointes ils peuvent contenir.
Le groupe de hackers Kimsuky a une longue histoire de lancement d’une variété d’attaques contre des utilisateurs sans méfiance, ce qui signifie que nous reverrons probablement leur travail.