Posté le mars 26, 2020 à 14:26
LES HACKERS INFECTENT LES SYSTÈMES AU MOYEN D’UNE FAUSSE MISE À JOUR DE CHROME
Les chercheurs russes de « Doctor Web », spécialisé en anti-virus, avertissent les utilisateurs de Google Chrome d’une nouvelle vague de cyber-attaque déguisée en mise à jour Google Chrome.
Les chercheurs ont révélé que les hackers invitent les utilisateurs à télécharger ces mises à jour, mais en réalité, ils sont amenés à télécharger une dangereuse porte dérobée qui infectera leurs systèmes.
Les hackers profitent de la situation actuelle
Tout au long de la semaine dernière, Microsoft et WhatsApp ont publié des informations et des détails sur les mises à jour de leur système. Alors que WhatsApp a averti ses utilisateurs de la mise à jour de leur plate-forme, Microsoft a publié une série de mises à jour de Windows 10 pour protéger les systèmes des utilisateurs contre l’exploitation généralisée de hackers se faisant passer pour des informateurs sur le COVID-19.
Et en raison de l’ajustement des horaires de travail des développeurs de Google suite à l’épidémie de virus, Google a arrêté toutes ses mises à jour prévues pour Chrome.
Le géant de la technologie a également reporté la prochaine version de chrome, qui était censée être Chrome 82. Mais Google a réitéré qu’il prendrait très au sérieux toute mise à jour liée à la sécurité et qu’il donnerait la priorité à ses ressources dans ce domaine pour le moment.
En l’état actuel des choses, certains hackers profitent de cette situation pour tromper les utilisateurs de Chrome d’une mise à jour inexistante de Chrome qui est une dangereuse porte dérobée. Une fois que l’utilisateur accepte et clique sur la demande de mise à jour, son système est infiltré par le virus.
La fausse mise à jour de Chrome est l’œuvre de hackers expérimentés
L’équipe de sécurité de Doctor Web a indiqué hier que la fausse demande de mise à jour de Chrome est l’œuvre de hackers qui ont compromis de nombreux sites fonctionnant sous WordPress. Ils utilisent maintenant les sites compromis pour envoyer de faux messages de mise à jour aux victimes.
Selon les chercheurs en sécurité, les sites que les hackers utilisent sont des sites de société officiels et des blogs d’information.
Les hackers utilisent une approche sophistiquée et leur approche montre qu’ils sont bien expérimentés dans ce domaine, a déclaré Doctor Web.
Selon les chercheurs, « le groupe de hackers derrière cette attaque a déjà été impliqué dans la diffusion d’un faux installateur du populaire éditeur vidéo VSDC via son site officiel et la plateforme logicielle CNET ».
Ils ont ajouté que les hackers étaient désormais en mesure d’obtenir le contrôle administratif de différents sites pour mettre en place une chaîne d’infection. Une fois qu’ils ont réussi à accéder à la section d’administration des sites, ils ont placé un protocole de redirection JavaScript malveillant qui dirige les visiteurs vers une fausse page de mise à jour de Chrome.
La page semble authentique pour l’utilisateur; elle est conçue par le hacker pour faire croire aux victimes qu’elles téléchargent les mises à jour depuis la page de mise à jour originale.
Mais la page de mise à jour de Chrome est complètement fausse et constitue un véritable installateur de logiciels malveillants. Une fois que l’utilisateur accepte de télécharger la mise à jour, son système est compromis par l’installateur du logiciel malveillant.
Le logiciel malveillant a été téléchargé plus de 2 000 fois
Selon les chercheurs de Doctor Web, ce fichier malveillant a déjà été téléchargé plus de 2 000 fois. Après l’activation de l’invite de commande, les archives protégées par un mot de passe et le protocole de contrôle à distance TeamViewer sont installés.
D’autres protocoles de logiciels malveillants sophistiqués peuvent également suivre, notamment un voleur de données hautement technique basé en Russie et un enregistreur de touches. Le voleur de données appelé Predator the Thief est actif depuis deux ans. Les chercheurs ont déclaré que le voleur de données utilise des techniques anti-analyse et anti-débogage qui empêchent l’analyse et la détection par les chercheurs.
Les victimes ciblées sont originaires de différentes régions
Selon les chercheurs en sécurité de Doctor Web, les victimes des activités des hackers sont originaires du Royaume-Uni, de la Turquie, de l’Australie, d’Israël, du Canada et des États-Unis. Les chercheurs ont retracé les fichiers malveillants téléchargés en utilisant les signatures numériques utilisées par les hackers lorsqu’ils créaient un faux installateur NordVPN.
Les utilisateurs de Chrome ont été conseillés sur les meilleurs moyens de se protéger contre ces hackers. Les chercheurs ont déclaré que les utilisateurs de Chrome devraient s’assurer que la fonction de mise à jour automatique de Chrome est activée. Les utilisateurs ne devraient pas cliquer manuellement sur un lien ou une information pour mettre à jour leur Chrome, ont conseillé les chercheurs.