Le malware Nigelthorn infecte plus de 100 000 utilisateurs


D’aprs une enqute publie ce jeudi 10 mai par les chercheurs de Radware, plus prcisment le service de protection contre les logiciels malveillants, un nouveau malware bas principalement sur une copie de l’extension Nigelify (du navigateur Google Chrome) d’o son surnom Nigelthorn a t dtect chez l’un de leurs clients. Plus fascinant, Nigelthorn utilise des algorithmes d’apprentissage automatique et se propage via les liens gnrs sur Facebook selon les chercheurs. Dans leur qute d’en savoir plus, ils ont aussi dcouvert que les auteurs de ce malware taient actifs depuis au moins mars 2018 tant la base de l’infection de plus de 100 000 utilisateurs dans plus de 100 pays.

Les principaux objectifs de Nigelthorn sont tout d’abord le vol de donnes. En effet, Nigelthorn est ax sur le vol des identifiants de connexion Facebook et des cookies de Instagram. Si la connexion se produit sur la machine infecte (ou si un cookie Instagram est trouv), il est aussitt envoy au pirate d’aprs Radware, l’utilisateur est ensuite redirig vers une API Facebook pour gnrer un jeton d’accs qui sera galement envoy au pirate en cas de succs , ajoute Radware.

Radware explique qu’aprs une authentification russie travers les jetons d’accs gnrs, le malware collecte des informations du compte dans le but de diffuser le lien malveillant sur le rseau de l’utilisateur. La diffusion du lien est alors effectue par message via Facebook Messenger ou en tant que nouveau message contenant des tags pouvant contenir jusqu’ 50 contacts. Une fois que la victime clique sur le lien, le processus d’infection recommence et les redirige vers une page Web de type YouTube ncessitant une installation de plug-in pour visionner la vido.


Fausse page Youtube

Outre sa propagation, le processus se poursuit par un minage de cryptomonnaie. ce propos, Radware dclare que le malware permet le tlchargement d’un plug-in qui permet aux pirates d’utiliser les machines infectes pour miner de la cryptomonnaie grce un code JavaScript contrl par les pirates. Le minage concerne principalement les cryptomonnaies Monero, Bytecoin et Electroneum qui sont bases sur l’algorithme CryptoNight qui permet le minage via n’importe quel CPU.

Pour ce qui concerne le processus d’infection, Radware indique que Nigelthorn se cache dans des copies d’extensions disponibles sur Chrome Web Store l’instar de Nigelify qui compte plus de 25 000 installations suivies de PwnerLike avec au moins 9 000 installations depuis le Chrome Web Store. Le malware redirige les victimes vers une fausse page YouTube et demande l’utilisateur d’installer une extension Chrome pour lire la vido. Une fois que l’utilisateur clique sur Ajouter une extension , l’extension malveillante est installe et la machine fait maintenant partie du botnet et un code JavaScript est excut et tlcharge la configuration initiale depuis la machine du pirate.

Version officielle gauche, version malveillante droite

Toujours selon Radware, le malware se concentre principalement sur les navigateurs Chrome sur Windows ou Linux et Radware estime que les utilisateurs qui n’utilisent pas Chrome ne sont pas exposs. Cependant pour plus de scurit, Radware recommande aux particuliers et aux entreprises de mettre jour leur mot de passe actuel et de ne tlcharger que des applications provenant de sources fiables.

Source : Blog Radware

Et vous ?

Qu’en pensez-vous ?
Avez-vous t confront ce malware ?

Voir aussi

Un nouveau malware infecte les PC ds que l’utilisateur place le curseur de la souris sur un lien contenu dans un fichier PowerPoint
 » target= »_blank »>FacexWorm : un malware qui cible les plateformes d’changes de cryptomonnaie, et qui se sert de Facebook Messenger pour se propager
Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie en exploitant une vulnrabilit du systme de gestion de contenu

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *