La campagne a été découverte au début du mois et vise aussi bien les particuliers que les entreprises. Dans ce dernier cas, un nouvel outil d’accès à distance basé sur Python, ModeloRAT, est déployé. NexShield était présenté comme un bloqueur de publicités rapide, léger et respectueux de la vie privée, prétendument développé par Raymond Hill, le créateur de l’extension populaire et légitime uBlock Origin, qui compte plus de 14 millions d’utilisateurs dans le monde. Cette affirmation était entièrement inventée.
Bien que NexShield ait depuis été retiré du Chrome Web Store, des chercheurs ont constaté que l’extension avait été activement diffusée pendant un certain temps par le biais de campagnes de malvertising.
Le plantage intentionnel du navigateur comme technique d’attaque
Des chercheurs de la société de sécurité Huntress ont découvert que NexShield provoquait délibérément une situation de déni de service dans Chrome et Edge. Cela se produit en ouvrant sans cesse des connexions sur le port chrome.runtime, ce qui épuise complètement la mémoire du navigateur. Le résultat est prévisible : des onglets qui se bloquent, une utilisation du processeur et de la mémoire fortement accrue, et un navigateur qui finit par se figer complètement ou planter. Souvent, l’utilisateur n’a d’autre choix que de forcer la fermeture du processus via le Gestionnaire des tâches. Comme le plantage n’est pas une simulation mais se produit réellement, les chercheurs parlent d’une nouvelle variante de ClickFix qu’ils ont baptisée « CrashFix ».
Lorsque l’utilisateur redémarre son navigateur, NexShield affiche une fenêtre contextuelle trompeuse contenant un faux avertissement. Celle-ci laisse entendre que le système rencontre de graves problèmes et qu’une analyse est nécessaire pour éviter toute perte de données. Si l’utilisateur donne suite, une nouvelle fenêtre s’ouvre avec des instructions pour « résoudre » le problème. Ces étapes reviennent à demander à l’utilisateur d’exécuter lui-même une série de commandes dans l’invite de commande Windows.
C’est l’utilisateur qui mène l’attaque lui-même
Comme dans les attaques ClickFix classiques, l’extension copie automatiquement une commande dans le presse-papiers. Selon les instructions, l’utilisateur n’a qu’à appuyer sur Ctrl+V pour exécuter la commande. Cela déclenche une réaction en chaîne au cours de laquelle un script dissimulé est téléchargé et exécuté via PowerShell. Pour éviter toute détection, un délai de 60 minutes est en outre prévu entre l’installation de l’extension et l’exécution de la charge utile malveillante.
ModeloRAT est déployé sur les systèmes faisant partie d’un domaine (généralement dans des environnements d’entreprise). Ce logiciel malveillant est capable de collecter des informations détaillées sur le système, d’exécuter des commandes PowerShell, de modifier le registre Windows, d’installer d’autres logiciels malveillants et de se mettre à jour. Sur les systèmes non rattachés à un domaine, généralement des ordinateurs personnels, les chercheurs n’ont pour l’instant reçu qu’une réponse « TEST PAYLOAD!!!! » de la part du serveur de commande et de contrôle. Cela suggère que ces victimes ne sont pas une priorité pour le moment ou que cette partie de l’attaque est encore en cours de développement.
Au début du mois, une autre campagne ClickFix avait déjà été découverte, qui simulait un faux écran bleu de Windows dans le navigateur. La différence avec CrashFix est que, dans ce cas, le navigateur plante réellement, ce qui rend l’attaque plus crédible. Huntress attribue cette campagne à un acteur malveillant connu sous le nom de « KongTuke », actif depuis début 2025. Selon les chercheurs, ce groupe se concentre de plus en plus sur les réseaux d’entreprise, où les gains potentiels pour les cybercriminels sont plus importants.
Comment éviter les attaques ClickFix et CrashFix
Les utilisateurs peuvent se protéger en n’installant que des extensions provenant d’éditeurs fiables et en faisant preuve de prudence lorsque des logiciels leur demandent d’exécuter manuellement des commandes. Si vous ne comprenez pas exactement ce que fait une commande externe, mieux vaut ne pas l’exécuter. Si vous avez installé NexShield, il est recommandé d’effectuer une analyse approfondie du système. En effet, la simple suppression de l’extension ne suffit pas : des logiciels malveillants résiduels tels que ModeloRAT ou d’autres scripts peuvent rester actifs.
À lire également : Une nouvelle attaque « ClickFix » trompe les utilisateurs avec de fausses mises à jour Windows et des logiciels malveillants dissimulés dans des images
