Vous pensiez qu’un simple bloqueur de publicités pouvait vous protéger ? Imaginez un outil qui, au lieu de vous défendre, se retourne contre vous, plongeant votre navigateur dans le chaos. Découvrez comment une extension se faisant passer pour un allié s’avère être un piège redoutable pour les utilisateurs et les entreprises.
Les 3 infos à ne pas manquer
- Une extension malveillante nommée NexShield imite le code de uBlock Origin Lite pour tromper les utilisateurs.
- L’attaque, baptisée CrashFix, provoque le plantage du navigateur pour inciter à une intervention manuelle.
- La menace vise particulièrement les environnements d’entreprise en déployant le cheval de Troie ModeloRAT.
La menace de l’extension NexShield
Début janvier, une campagne d’infection a été découverte par les équipes de Huntress. Cette campagne utilise une extension web nommée NexShield, prétendant être un bloqueur de publicités respectueux de la vie privée. Cependant, cette extension est en réalité un outil de manipulation conçu pour piéger les utilisateurs en provoquant le plantage de leur navigateur, rendant ainsi l’attaque difficile à distinguer d’un problème technique légitime.
Un piège bien ficelé
Le mode opératoire de NexShield repose sur un enchaînement de faux incidents. Une fois installée, l’extension attend environ une heure avant de déclencher sa charge utile. Elle utilise l’API chrome.runtime pour saturer les ressources du navigateur, provoquant son plantage. Ce comportement pousse l’utilisateur à suivre une procédure de « réparation », qui consiste en réalité à exécuter une commande sous Windows, déclenchant une chaîne PowerShell obfusquée.
Conséquences pour les entreprises
Sur les réseaux d’entreprise, l’attaque déploie le cheval de Troie ModeloRAT, qui permet un accès à distance et assure sa persistance dans le système. Le cheval de Troie chiffre ses communications et peut exécuter des commandes, rendant ainsi le réseau vulnérable à d’autres attaques. Pour les machines grand public, le processus d’infection est encore en phase de test, mais reste une menace potentielle.
Comment se protéger ?
Il est impératif de surveiller et de gérer les extensions installées sur les navigateurs, même celles provenant de sources officielles. Les installations doivent être limitées à des éditeurs validés, et leur usage doit être régulièrement contrôlé. En cas de suspicion d’infection par NexShield, un scan antivirus complet est nécessaire pour s’assurer de l’éradication totale de la menace.
Contexte et historique de la menace
Huntress a identifié l’acteur derrière cette campagne sous le nom de KongTuke, actif depuis début 2025. Cette méthode d’infection, appelée CrashFix, est une variante des attaques ClickFix. Elle ne repose pas sur une vulnérabilité logicielle, mais sur une série de manipulations destinées à inciter l’utilisateur à exécuter les actions menant à l’infection. Les entreprises et utilisateurs doivent rester vigilants face à ces techniques de plus en plus sophistiquées.
Source : https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke