Extension Trojan Malware : une menace croissante pour les utilisateurs de Google Chrome et Microsoft Edge

trojan horse

Une nouvelle vague de malwares a été détectée ciblant les utilisateurs de Google Chrome et Microsoft Edge en installant des extensions de navigateur malveillantes via un cheval de Troie distribué via de faux sites Web. Cette campagne, active depuis 2021, exploite des sites Web d'imitation se faisant passer pour des pages de téléchargement de logiciels populaires pour inciter les utilisateurs sans méfiance à télécharger des programmes d'installation malveillants.

Le paysage des menaces

Le malware, identifié pour la première fois par ReasonLabs, va des extensions de logiciels publicitaires relativement simples qui détournent les résultats de recherche aux scripts plus sophistiqués capables de voler des données privées et d'exécuter des commandes non autorisées sur les systèmes infectés. Le cheval de Troie a déjà touché plus de 300 000 utilisateurs, ce qui souligne l'ampleur de l'impact de cette campagne.

Au cœur de cette menace se trouve l'utilisation de publicités malveillantes, où les attaquants créent des sites Web similaires faisant la promotion de logiciels bien connus tels que Roblox FPS Unlocker, YouTube, VLC media player, Steam et KeePass. Les utilisateurs à la recherche de ces programmes peuvent être incités à télécharger un cheval de Troie qui sert de canal pour l'installation d'extensions de navigateur malveillantes.

Une fois installés, ces programmes d'installation malveillants signés numériquement enregistrent une tâche planifiée sur le système de la victime, ce qui déclenche un script PowerShell pour télécharger et exécuter des charges utiles supplémentaires à partir d'un serveur distant. Ces charges utiles incluent des modifications du registre Windows, forçant l'installation d'extensions du Chrome Web Store et des modules complémentaires Microsoft Edge. Ces extensions sont ensuite utilisées pour détourner les requêtes de recherche sur Google et Microsoft Bing, les redirigeant via des serveurs contrôlés par l'attaquant.

Comment fonctionne le logiciel malveillant

Les extensions malveillantes installées par ce cheval de Troie ne sont pas facilement supprimables par les utilisateurs, même lorsque le mode développeur est activé. Les versions récentes du script sont devenues encore plus dangereuses en supprimant les mises à jour du navigateur, renforçant ainsi la présence du malware sur les systèmes infectés.

De plus, une extension locale est lancée à partir d'un serveur de commande et de contrôle (C2), doté de fonctionnalités étendues. Elle intercepte toutes les requêtes Web, les envoie au serveur, reçoit des commandes et des scripts cryptés et injecte du code malveillant dans les pages Web. Le logiciel malveillant détourne également les requêtes de recherche des moteurs populaires comme Ask.com, Bing et Google, les canalisant via ses serveurs avant de les rediriger vers d'autres moteurs de recherche.

Comment supprimer le malware Trojan Extension

Si vous pensez que votre système a été compromis par ce logiciel malveillant, il est essentiel de prendre des mesures immédiates pour atténuer les dégâts. Suivez ces étapes pour supprimer le logiciel malveillant et restaurer votre système :

  1. Supprimer la tâche planifiée : recherchez et supprimez la tâche planifiée qui réactive quotidiennement le logiciel malveillant.
  2. Supprimer les clés de registre : accédez au registre Windows et supprimez toutes les clés associées au logiciel malveillant.
  3. Supprimer les fichiers et dossiers malveillants : supprimez les fichiers et répertoires suivants de votre système :
    • C:\Windows\system32\Privacyblockerwindows.ps1
    • C:\Windows\system32\Windowsupdater1.ps1
    • C:\Windows\system32\WindowsUpdater1Script.ps1
    • C:\Windows\system32\Optimizerwindows.ps1
    • C:\Windows\system32\Printworkflowservice.ps1
    • C:\Windows\system32\NvWinSearchOptimizer.ps1 (version 2024)
    • C:\Windows\system32\kondserp_optimizer.ps1 (version de mai 2024)
    • C:\Windows\InternalKernelGrid
    • C:\Windows\InternalKernelGrid3
    • C:\Windows\InternalKernelGrid4
    • C:\Windows\ShellServiceLog
    • C:\windows\privacyprotectorlog
    • C:\Windows\NvOptimizerLog

En suivant ces étapes, vous pouvez supprimer le logiciel malveillant et éviter d'endommager davantage votre système. Cependant, il est également recommandé d'installer et de mettre à jour régulièrement un programme antivirus réputé pour vous protéger contre les menaces futures.

Cette campagne de malwares en cours nous rappelle l'évolution des menaces dans le monde numérique. En restant vigilants et prudents, notamment lors du téléchargement de logiciels provenant de sources inconnues, les utilisateurs peuvent protéger leurs systèmes contre ces dangereux chevaux de Troie. Vérifiez toujours l'authenticité des sites Web et des téléchargements, et maintenez votre logiciel de sécurité à jour pour vous protéger contre les dernières menaces.

Par Zane
August 12, 2024
Trojan
Français
August 12, 2024
Trojan

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.