💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Ransomwares : les navigateurs dans le viseur des cybercriminels

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Des attaques sans téléchargement ciblent les navigateurs via extensions et outils légitimes, contournant les défenses classiques pour déployer des ransomwares discrètement.

La cybersécurité est un domaine en constante évolution, où les menaces se renouvellent sans cesse. Récemment, deux tendances inquiétantes ont émergé, mettant en lumière la créativité malveillante des cybercriminels. Comment les attaquants parviennent-ils à contourner les défenses traditionnelles et quelles sont les parades possibles ?

L’essor des attaques via les extensions de navigateur et outils légitimes

Une nouvelle vague de cyberattaques a vu le jour, exploitant à la fois les extensions de navigateur et des outils système légitimes. Selon Cybersecurity News, au cours des six derniers mois, les acteurs malveillants ont perfectionné leurs techniques pour diffuser des malwares via des extensions de navigateur trompeuses et en abusant d’utilitaires Microsoft intégrés, comme l’assistance rapide.

Ces attaques déjouent les contrôles de sécurité classiques en exploitant le comportement des utilisateurs et les fonctionnalités légitimes des logiciels. Ce faisant, elles créent des portes dérobées persistantes, qui subsistent même après les tentatives de remédiation du système.

Le vecteur des extensions de navigateur malveillantes

La campagne malveillante utilise des extensions de navigateur piégées, souvent diffusées via des listes compromises du Chrome Web Store ou des redirections de malvertising. Une fois installées, ces extensions s’incrustent dans les profils utilisateur et permettent aux attaquants de voler des identifiants, des cookies de session et des données sensibles.

Un aspect particulièrement préoccupant est la capacité de ces extensions à survivre à la réinstallation du système. Les victimes réintroduisent fréquemment leurs profils de navigateur infectés lors de la récupération de leur appareil, ce qui garantit une réinfection répétée et complique considérablement les efforts d’atténuation.

Les analystes d’Ontinue ont identifié que les attaquants associent ces extensions à des tactiques d’ingénierie sociale pour exécuter des commandes PowerShell malveillantes. Dans une technique courante de malvertising, les utilisateurs sont redirigés vers de fausses pages de vérification qui leur demandent de presser Windows + R et de coller du code PowerShell obscurci. Ce script télécharge ensuite une charge utile secondaire, souvent un voleur d’informations comme Lumma ou un chargeur de ransomware, en se faisant passer pour un processus Windows légitime.

Un poste de travail infecte par un malware

L’abus de l’assistance rapide pour un accès à distance discret

L’abus de l’outil d’assistance rapide de Microsoft constitue un autre volet important de ces attaques. Cette application, conçue pour le dépannage à distance, permet aux attaquants d’établir un accès clandestin aux systèmes. L’assistance rapide exige que les victimes partagent un code de vérification à six chiffres avec des attaquants se faisant passer pour du personnel de support informatique.

Une fois l’accès accordé, les cybercriminels désactivent les outils de sécurité, manipulent les clés de registre pour assurer leur persistance et déploient des malwares. Les chercheurs d’Ontinue ont noté que les adversaires combinent cette tactique avec des campagnes de « bombardement de spam », où les victimes reçoivent des centaines d’e-mails de phishing pour masquer les communications légitimes. Submergés, les utilisateurs sont alors incités à contacter de faux services d’assistance, où les attaquants les guident pour activer des sessions d’assistance rapide. Après la compromission, les attaquants installent fréquemment des extensions de navigateur pour maintenir leur accès ou exfiltrer des données.

L’utilisation abusive de l’assistance rapide illustre une tendance plus large à l’armement d’applications de confiance. Contrairement aux outils tiers, l’assistance rapide contourne les règles de détection des terminaux en raison de son origine signée par Microsoft. Cela confère aux attaquants un avantage opérationnel, car les équipes de sécurité ont tendance à privilégier la surveillance des logiciels d’accès à distance moins courants.

Le ransomware nouvelle génération : une menace sans téléchargement

Le ransomware, l’une des cybermenaces les plus perfides du moment, continue d’évoluer. Traditionnellement, il ciblait l’appareil de la victime, chiffrant ou supprimant des données critiques. Cependant, avec la prolifération du cloud et des services SaaS, le navigateur est devenu une cible de choix. Comme le souligne SquareX, le navigateur est en train de devenir le nouvel endpoint.

SquareX met en garde contre l’émergence d’un nouveau type de ransomware, qui ne nécessite aucun téléchargement de fichier. Ce ransomware natif du navigateur cible l’identité numérique de la victime, exploitant la généralisation du stockage d’entreprise dans le cloud et le fait que l’authentification basée sur le navigateur est la principale porte d’entrée pour accéder à ces ressources.

Comment fonctionne le ransomware natif du navigateur ?

Dans les études de cas présentées par SquareX, ces attaques exploitent des agents d’IA pour automatiser la majeure partie de la séquence d’attaque, nécessitant une ingénierie sociale et une interférence minimes de la part de l’attaquant. Un scénario possible consiste à inciter un utilisateur à accorder à un faux outil de productivité l’accès à son e-mail. L’attaquant peut ensuite identifier toutes les applications SaaS auxquelles la victime est inscrite et réinitialiser systématiquement les mots de passe de ces applications, verrouillant ainsi l’accès des utilisateurs et prenant en otage les données d’entreprise stockées sur ces applications.

De même, l’attaquant peut cibler des services de partage de fichiers comme Google Drive, Dropbox et OneDrive, en utilisant l’identité de la victime pour copier et supprimer tous les fichiers stockés sur son compte. Il est essentiel de noter que les attaquants peuvent également accéder à tous les lecteurs partagés, y compris ceux partagés par des collègues, des clients et d’autres tiers. Cela élargit considérablement la surface d’attaque du ransomware natif du navigateur. Alors que l’impact de la plupart des ransomwares traditionnels est limité à un seul appareil, une simple erreur d’un employé peut suffire aux attaquants pour obtenir un accès complet aux ressources de l’entreprise.

Face à la diminution constante des téléchargements de fichiers, les attaquants se tournent naturellement vers les lieux où le travail et les données précieuses sont créés et stockés. Alors que les navigateurs deviennent le nouvel endpoint, il est crucial que les entreprises repensent leur stratégie de sécurité du navigateur. Tout comme les solutions EDR étaient essentielles pour se défendre contre les ransomwares basés sur des fichiers, une solution native au navigateur, comprenant parfaitement les attaques d’identité de la couche application côté client, deviendra indispensable pour lutter contre la prochaine génération d’attaques de ransomware.

Pour en savoir plus

Les pirates informatiques diffusent des logiciels malveillants via des extensions de navigateur et des outils légitimes pour contourner les contrôles de sécurité

Une nouvelle vague de cyberattaques exploitant des extensions de navigateur et des outils système de confiance est apparue comme une menace critique pour la sécurité des entreprises. Au cours des six derniers mois, les acteurs de la menace ont perfectionné leurs techniques pour diffuser des logiciels malveillants via des modules complémentaires de navigateur trompeurs et abuser des fonctionnalités intégrées…

Lire la suite sur Cyber Security News
Les pirates informatiques diffusent des logiciels malveillants via des extensions de navigateur et des outils légitimes pour contourner les contrôles de sécurité

SquareX révèle un ransomware natif du navigateur qui met des millions de personnes en danger

Palo Alto, États-Unis, 28 mars 2025, CyberNewsWire. De WannaCry au piratage de MGM Resorts, les rançongiciels restent l’une des cybermenaces les plus dévastatrices pour les entreprises. Chainalysis estime que les entreprises dépensent près d’un milliard de dollars en rançons chaque année…

Lire la suite sur Cybersecurity Insiders
SquareX révèle un ransomware natif du navigateur qui met des millions de personnes en danger

(Re)découvrez également:

Comment une webcam a permis au ransomware Akira de s’infiltrer

Le groupe de cybercriminels Akira a utilisé une webcam non sécurisée pour contourner l’EDR et déployer son ransomware dans des entreprises.

Lire la suite sur dcod.ch
Comment une webcam a permis au ransomware Akira de s'infiltrer

Baisse de 35% des paiements de ransomwares en 2024

En 2024, les paiements liés aux ransomwares ont diminué de 35 %, grâce aux mesures de cybersécurité et à l’intervention des forces de l’ordre.

Lire la suite sur dcod.ch
Baisse de 35% des paiements de ransomwares en 2024

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏