Des attaques sans téléchargement ciblent les navigateurs via extensions et outils légitimes, contournant les défenses classiques pour déployer des ransomwares discrètement.
La cybersécurité est un domaine en constante évolution, où les menaces se renouvellent sans cesse. Récemment, deux tendances inquiétantes ont émergé, mettant en lumière la créativité malveillante des cybercriminels. Comment les attaquants parviennent-ils à contourner les défenses traditionnelles et quelles sont les parades possibles ?
L’essor des attaques via les extensions de navigateur et outils légitimes
Une nouvelle vague de cyberattaques a vu le jour, exploitant à la fois les extensions de navigateur et des outils système légitimes. Selon Cybersecurity News, au cours des six derniers mois, les acteurs malveillants ont perfectionné leurs techniques pour diffuser des malwares via des extensions de navigateur trompeuses et en abusant d’utilitaires Microsoft intégrés, comme l’assistance rapide.
Ces attaques déjouent les contrôles de sécurité classiques en exploitant le comportement des utilisateurs et les fonctionnalités légitimes des logiciels. Ce faisant, elles créent des portes dérobées persistantes, qui subsistent même après les tentatives de remédiation du système.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Le vecteur des extensions de navigateur malveillantes
La campagne malveillante utilise des extensions de navigateur piégées, souvent diffusées via des listes compromises du Chrome Web Store ou des redirections de malvertising. Une fois installées, ces extensions s’incrustent dans les profils utilisateur et permettent aux attaquants de voler des identifiants, des cookies de session et des données sensibles.
Un aspect particulièrement préoccupant est la capacité de ces extensions à survivre à la réinstallation du système. Les victimes réintroduisent fréquemment leurs profils de navigateur infectés lors de la récupération de leur appareil, ce qui garantit une réinfection répétée et complique considérablement les efforts d’atténuation.
Les analystes d’Ontinue ont identifié que les attaquants associent ces extensions à des tactiques d’ingénierie sociale pour exécuter des commandes PowerShell malveillantes. Dans une technique courante de malvertising, les utilisateurs sont redirigés vers de fausses pages de vérification qui leur demandent de presser Windows + R et de coller du code PowerShell obscurci. Ce script télécharge ensuite une charge utile secondaire, souvent un voleur d’informations comme Lumma ou un chargeur de ransomware, en se faisant passer pour un processus Windows légitime.
L’abus de l’assistance rapide pour un accès à distance discret
L’abus de l’outil d’assistance rapide de Microsoft constitue un autre volet important de ces attaques. Cette application, conçue pour le dépannage à distance, permet aux attaquants d’établir un accès clandestin aux systèmes. L’assistance rapide exige que les victimes partagent un code de vérification à six chiffres avec des attaquants se faisant passer pour du personnel de support informatique.
Une fois l’accès accordé, les cybercriminels désactivent les outils de sécurité, manipulent les clés de registre pour assurer leur persistance et déploient des malwares. Les chercheurs d’Ontinue ont noté que les adversaires combinent cette tactique avec des campagnes de « bombardement de spam », où les victimes reçoivent des centaines d’e-mails de phishing pour masquer les communications légitimes. Submergés, les utilisateurs sont alors incités à contacter de faux services d’assistance, où les attaquants les guident pour activer des sessions d’assistance rapide. Après la compromission, les attaquants installent fréquemment des extensions de navigateur pour maintenir leur accès ou exfiltrer des données.
L’utilisation abusive de l’assistance rapide illustre une tendance plus large à l’armement d’applications de confiance. Contrairement aux outils tiers, l’assistance rapide contourne les règles de détection des terminaux en raison de son origine signée par Microsoft. Cela confère aux attaquants un avantage opérationnel, car les équipes de sécurité ont tendance à privilégier la surveillance des logiciels d’accès à distance moins courants.
Le ransomware nouvelle génération : une menace sans téléchargement
Le ransomware, l’une des cybermenaces les plus perfides du moment, continue d’évoluer. Traditionnellement, il ciblait l’appareil de la victime, chiffrant ou supprimant des données critiques. Cependant, avec la prolifération du cloud et des services SaaS, le navigateur est devenu une cible de choix. Comme le souligne SquareX, le navigateur est en train de devenir le nouvel endpoint.
SquareX met en garde contre l’émergence d’un nouveau type de ransomware, qui ne nécessite aucun téléchargement de fichier. Ce ransomware natif du navigateur cible l’identité numérique de la victime, exploitant la généralisation du stockage d’entreprise dans le cloud et le fait que l’authentification basée sur le navigateur est la principale porte d’entrée pour accéder à ces ressources.
Comment fonctionne le ransomware natif du navigateur ?
Dans les études de cas présentées par SquareX, ces attaques exploitent des agents d’IA pour automatiser la majeure partie de la séquence d’attaque, nécessitant une ingénierie sociale et une interférence minimes de la part de l’attaquant. Un scénario possible consiste à inciter un utilisateur à accorder à un faux outil de productivité l’accès à son e-mail. L’attaquant peut ensuite identifier toutes les applications SaaS auxquelles la victime est inscrite et réinitialiser systématiquement les mots de passe de ces applications, verrouillant ainsi l’accès des utilisateurs et prenant en otage les données d’entreprise stockées sur ces applications.
De même, l’attaquant peut cibler des services de partage de fichiers comme Google Drive, Dropbox et OneDrive, en utilisant l’identité de la victime pour copier et supprimer tous les fichiers stockés sur son compte. Il est essentiel de noter que les attaquants peuvent également accéder à tous les lecteurs partagés, y compris ceux partagés par des collègues, des clients et d’autres tiers. Cela élargit considérablement la surface d’attaque du ransomware natif du navigateur. Alors que l’impact de la plupart des ransomwares traditionnels est limité à un seul appareil, une simple erreur d’un employé peut suffire aux attaquants pour obtenir un accès complet aux ressources de l’entreprise.
Face à la diminution constante des téléchargements de fichiers, les attaquants se tournent naturellement vers les lieux où le travail et les données précieuses sont créés et stockés. Alors que les navigateurs deviennent le nouvel endpoint, il est crucial que les entreprises repensent leur stratégie de sécurité du navigateur. Tout comme les solutions EDR étaient essentielles pour se défendre contre les ransomwares basés sur des fichiers, une solution native au navigateur, comprenant parfaitement les attaques d’identité de la couche application côté client, deviendra indispensable pour lutter contre la prochaine génération d’attaques de ransomware.
Pour en savoir plus
Les pirates informatiques diffusent des logiciels malveillants via des extensions de navigateur et des outils légitimes pour contourner les contrôles de sécurité
Une nouvelle vague de cyberattaques exploitant des extensions de navigateur et des outils système de confiance est apparue comme une menace critique pour la sécurité des entreprises. Au cours des six derniers mois, les acteurs de la menace ont perfectionné leurs techniques pour diffuser des logiciels malveillants via des modules complémentaires de navigateur trompeurs et abuser des fonctionnalités intégrées…
SquareX révèle un ransomware natif du navigateur qui met des millions de personnes en danger
Palo Alto, États-Unis, 28 mars 2025, CyberNewsWire. De WannaCry au piratage de MGM Resorts, les rançongiciels restent l’une des cybermenaces les plus dévastatrices pour les entreprises. Chainalysis estime que les entreprises dépensent près d’un milliard de dollars en rançons chaque année…
(Re)découvrez également:
Comment une webcam a permis au ransomware Akira de s’infiltrer
Le groupe de cybercriminels Akira a utilisé une webcam non sécurisée pour contourner l’EDR et déployer son ransomware dans des entreprises.
Baisse de 35% des paiements de ransomwares en 2024
En 2024, les paiements liés aux ransomwares ont diminué de 35 %, grâce aux mesures de cybersécurité et à l’intervention des forces de l’ordre.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
