Selon la firme en sécurité Volexity la méthode vient des pirates nord-coréens. On pense souvent à tort qu’un bon mot de passe et des fonctionnalités de sécurité additionnelles comme l’authentification double facteurs suffisent à empêcher la plupart des pirates d’accéder à vos comptes les plus sensibles comme votre compte Gmail.
Et pourtant, l’idée géniale des pirates nord-coréens pour contourner la sécurité de la célèbre messagerie est d’une simplicité et d’une efficacité désarmante. En effet, plutôt que d’attaquer directement aux systèmes de sécurité de Google, ces pirates préfèrent utiliser une extension / add-on pour Chrome et Edge – pour mieux abuser de vos cookies de connexion.
Comment la Corée du Nord espionne Gmail sans déclencher d’alarmes
L’extension en question existerait “depuis plus d’un an” et se propage via une campagne de phishing dans laquelle les pirates tentent de faire installer l’extension vérolée à leurs victimes. Extension qui est bien sûr aux abonnés absents sur les magasins d’add-ons habituels. Les pirates nord-coréens visent en priorité des organisations américaines européennes et sud-coréennes.
En particulier les firmes et agences gouvernementales qui travaillent sur le nucléaire entre autres sujets sensibles. Selon Volexity, dans sa forme actuelle, le malware ne vise que les PC Windows. Mais a priori les pirates n’auraient aucun mal à porter le malware sur d’autres plateformes comme les Mac.
Après avoir modifié les fichiers contenant les préférences système, le malware télécharge et installe le fameux add-on et exécute un script Powershell qui active DevTools, un ensemble d’outils développeurs – qui a la particularité d’autoriser le malware a exécuter du code arbitraire dans les navigateurs installés sur la machine.
“Le script détecte grâce a une boucle tous les processus liés aux navigateurs internet. Si l’un d’entre eux est lancé, le script épluche le titre des onglets à la recherche de mots clé comme 05101190 ou Tab+. Mot clé qui est injecté dans le titre par l’extension dès qu’un onglet change ou qu’une page est chargée”, expliquent les chercheurs.
De là le script peut exfiltrer tout ce qui se trouve sur la page visée, notamment vos emails Gmail. Mais sa sophistication va au-delà. En effet, il est possible d’ajouter des adresses à une liste noire, pour éviter de perdre du temps à les explorer. Le malware se souvient également des pièces jointes téléchargées pour la même raison.
Lire aussi – Meilleur forfait mobile – lequel faut-il choisir ? (comparatif)
Pour l’heure, il est difficile de se protéger contre cette attaque, si ce n’est en renforçant votre protection contre le phishing et en installant l’un des meilleurs antivirus du moment. Un autre conseil est plus généralement d’éviter les extensions sur Chrome et les autres navigateurs. Ces dernières contiennent en effet souvent des failles de sécurité – elles peuvent aspirer le contenu de pages normalement sécurisées… ce qui assurément simplifie la vie des pirates.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Pourquoi votre article appose une pub pour NordVPN, toute la presse en ligne est corrompu ! entre les articles publicitaires, et les pubs, le journalisme n’existe plus ! A mort PressCitron
J’ai relu l’article plusieurs fois et je ai pas vu le nom de cette extension a éviter !
Pas de nom d’extension, bizarre cher Watson bizarre 🤔🤔🤔
Más instructivo sería indicar las extensiones en cuestión!
Que du bla-bla, sujet vague sans précision.
Quel est le nom de l’extension (add-on) pour que les gens ne le télécharge pas ?