Une extension malveillante fait évoluer les attaques ClickFix en provoquant volontairement le crash du navigateur. Une approche plus convaincante, conçue pour leurrer les internautes, et ciblant en priorité les environnements d’entreprise.
Début janvier, les équipes de Huntress ont identifié une nouvelle campagne d’infection qui marque une évolution notable des attaques de type ClickFix. La méthode repose sur un enchaînement de faux incidents et de correctifs trompeurs, conçu pour amener la victime à intervenir elle-même, mais avec une nouveauté de taille : le dysfonctionnement à l’origine de l’alerte n’est pas simulé. Le navigateur plante réellement, ce qui rend l’attaque plus crédible et plus difficile à distinguer d’un incident technique classique.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Faire crasher pour mieux infecter
L’attaque repose sur une extension web baptisée NexShield, présentée comme un bloqueur de publicités léger et respectueux de la vie privée. Dans les faits, l’extension reprend presque intégralement le code de uBlock Origin Lite, moyennant quelques retouches superficielles, un numéro de version à peine différent et des références destinées à faire croire à un lien avec Raymond Hill, développeur du projet original. Elle a circulé via une campagne de malvertising qui redirigeait vers une fiche hébergée sur le Chrome Web Store, ce qui devait suffire à lever la plupart des soupçons.
Une fois activée, NexShield diffère l’exécution de sa charge utile d’environ une heure, afin de brouiller le lien entre l’installation et les premiers symptômes. Passé ce délai, le module web ouvre à la chaîne des canaux de communications internes via l’API chrome.runtime, utilisée par les extensions pour faire dialoguer leurs composants, jusqu’à saturer les ressources du navigateur et provoquer son plantage.
Au redémarrage, une fenêtre indique que le navigateur s’est arrêté de manière anormale, évoque un problème de sécurité et propose un scan, avant de guider l’internaute vers une procédure de « réparation » qui consiste à coller et exécuter une commande sous Windows, déclenchant une chaîne PowerShell obfusquée chargée de lancer la suite de l’infection.
La suite dépend du type de machine compromise. Sur les postes intégrés à un réseau d’entreprise, l’attaque déploie ModeloRAT, un cheval de Troie d’accès à distance écrit en Python, livré avec sa propre distribution WinPython, ce qui lui permet de fonctionner de manière autonome. Le code assure sa persistance dans le registre, chiffre ses communications et intègre des fonctions de reconnaissance et d’exécution de commandes. Sur les machines grand public, l’enchaînement observé est plus fortement obfusqué et encore incomplet, laissant penser à une phase de test.
Comment réduire le risque face aux attaques CrashFix
Huntress a baptisé cette méthode d’infection CrashFix et l’attribue à un acteur qu’elle suit depuis début 2025 sous le nom de KongTuke. Tout comme les attaques ClickFix, dont elle constitue finalement une variante, cette technique n’exploite pas de vulnérabilité logicielle, mais un enchaînement de manipulation et de faux correctifs destiné à pousser la victime à exécuter elle-même la chaîne d’infection.
Gardez en tête qu’un navigateur n’a aucune raison légitime de demander l’exécution manuelle d’une commande système. Si vous vous retrouvez dans une telle situation, il faut interrompre le processus dans le gestionnaire des tâches, le signaler comme un incident de sécurité et vérifier l’état du système à l’aide d’un scan antivirus complet afin de s’assurer qu’aucune charge n’a été déposée.
Plus généralement, les extensions doivent être strictement encadrées en entreprise, y compris lorsqu’elles proviennent de stores officiels, en limitant les installations à une liste restreinte d’éditeurs validés et en surveillant les ajouts et mises à jour dans le temps.
Enfin, lorsqu’une installation de NexShield est confirmée, la suppression de l’extension ne suffit pas. Les charges déposées ensuite, notamment ModeloRAT sur les postes joints à un domaine, peuvent persister indépendamment du navigateur. Leur présence impose un examen approfondi du PC et un contrôle des communications sortantes afin de s’assurer que l’infection a bien été éradiquée.
Source : Huntress
