NexShield : une extension malveillante qui fait planter Chrome et Edge

Une nouvelle menace informatique a été découverte par les experts de Huntress, ciblant les utilisateurs de Chrome et Edge via une extension malveillante. Présentée comme un bloqueur de publicités, cette extension, baptisée NexShield, provoque intentionnellement le crash des navigateurs pour mieux piéger les internautes. Voici comment cette attaque se déroule et comment s’en protéger.

L’essentiel à retenir

• NexShield est une extension malveillante qui se fait passer pour un bloqueur de pubs légitime.
• Elle provoque le plantage des navigateurs Chrome et Edge pour manipuler les utilisateurs.
• Le cheval de Troie ModeloRAT est déployé sur les réseaux d’entreprise, représentant un risque majeur pour la sécurité.

Une nouvelle campagne de malware : la menace NexShield

Début janvier, les équipes de Huntress ont mis en lumière une nouvelle campagne de malware qui exploite une extension nommée NexShield. Celle-ci se présente comme un bloqueur de publicités, mais son véritable but est de planter volontairement les navigateurs Chrome et Edge, rendant l’attaque difficile à distinguer d’un problème technique habituel.

NexShield reprend essentiellement le code de uBlock Origin Lite, avec quelques modifications mineures pour tromper les utilisateurs en leur faisant croire à sa légitimité. La diffusion de cette extension s’est faite par le biais d’une campagne de malvertising, redirigeant vers le Chrome Web Store pour lever les doutes.

Un piège bien orchestré : la méthode CrashFix

Une fois installée, NexShield attend environ une heure avant de déclencher son attaque, en saturant les ressources du navigateur par une série de communications internes, ce qui conduit à son plantage. Au redémarrage, une fausse fenêtre de sécurité s’affiche, incitant l’utilisateur à suivre une procédure de réparation qui en réalité initie une chaîne PowerShell malveillante.

Cette attaque, baptisée CrashFix, est attribuée à un acteur nommé KongTuke, actif depuis 2025. Comme les attaques ClickFix, elle n’exploite pas de vulnérabilité logicielle mais repose sur des manipulations et faux correctifs pour amener l’utilisateur à exécuter le code malveillant.

ModeloRAT : une menace pour les entreprises

Sur les machines faisant partie d’un réseau d’entreprise, l’attaque installe ModeloRAT, un cheval de Troie d’accès à distance écrit en Python. Ce logiciel malveillant fonctionne de manière autonome grâce à une distribution WinPython intégrée, et est capable de chiffrer ses communications tout en offrant des fonctions avancées de reconnaissance et d’exécution de commandes.

Pour les machines grand public, l’enchaînement malveillant reste plus obscurci, ce qui laisse à penser qu’il s’agit encore d’une phase de test.

Prévention et sécurité : comment se protéger

Il est important de se rappeler qu’un navigateur ne devrait jamais demander l’exécution manuelle d’une commande système. En cas de doute, il faut interrompre le processus suspect via le gestionnaire des tâches et effectuer une analyse antivirus complète pour s’assurer qu’aucune menace n’a été implantée.

Les entreprises doivent encadrer strictement l’utilisation des extensions, même celles provenant de stores officiels. Il est recommandé de limiter les installations à une liste d’éditeurs validés et de surveiller les mises à jour régulièrement.

Enfin, si NexShield est installé, la simple suppression de l’extension n’est pas suffisante. Il est crucial de vérifier la présence de charges supplémentaires, telles que ModeloRAT, et de contrôler les communications sortantes pour garantir l’éradication complète de l’infection.

Contexte : l’évolution des menaces informatiques

Depuis plusieurs années, les attaques de type ClickFix, qui manipulent les utilisateurs pour qu’ils exécutent eux-mêmes des codes malveillants, se sont multipliées. Ces menaces ne reposent pas sur des failles logicielles mais sur des stratégies de duperie sophistiquées. NexShield et sa méthode CrashFix représentent une évolution de ces techniques, soulignant l’importance pour les entreprises et les particuliers de rester vigilants face à des extensions et logiciels inconnus.

Source : https://www.emarketerz.fr/extension-nexshield-une-menace-deguisee-en-bloqueur-de-pubs/