Chrome, Edge : cette mise à jour des navigateurs cache un malware qui chiffre vos données

Après s'être attaqué à l'ancestral navigateur Internet Explorer, le malware Magniber s'en prend désormais à Google Chrome et Microsoft Edge. Une équipe de chercheurs a récemment découvert que le logiciel malveillant se dissimule dans une mise à jour plus vraie que nature et destinée aux deux navigateurs.

Au détour d'un site Web, un message s'affiche : que vous utilisiez Microsoft Edge ou Google Chrome, votre navigateur a besoin d'une “mise à jour manuelle”. Un bouton sur la page permet de télécharger la mise à jour et de l'installer en un tour de main. L'opération ne prend que quelques secondes et Windows laisse la mise à jour se faire, sans détecter le moindre souci. Simple, rapide et efficace.

Sauf que cette mise à jour n'a rien d'authentique. Une équipe de chercheurs de Coréen du Sud vient de découvrir que le fichier d'installation dissimule un logiciel chargé de télécharger le ransomware Magniber, lequel va ensuite chiffrer les données de l'utilisateur. La victime devra alors envoyer de l'argent à des hackers, faute de quoi elle ne pourra plus accéder à ses précieux fichiers personnels.

A lire aussi : Chrome, Edge – un dangereux malware se diffuse dans une trentaine d'extensions, désinstallez-les rapidement !

Une fausse mise à jour de Chrome et de Edge abrite le dangereux ransomware Magniber

Magniber, qui s'était fait connaître jusqu'à présent pour son exploitation d'une faille dans Internet Explorer, revient par la grande porte. Le ransomware s'attaque désormais aux navigateurs Chrome et Edge, qui totalisent à eux deux plus de 84% du marché des navigateurs sur ordinateur (source : Netmarketshare).

L'équipe de l'AhnLab Security Emergency Response Center (ASEC) vient de découvrir que le malware se propage désormais au sein d'un fichier de mise à jour .appx (un format lancé avec Windows 8, mais toujours exploité par Windows 10 et Windows 11). Le fichier en question a pour nom edge_update.appx ou chrome_update.appx. Le problème, c'est que le fichier paraît pleinement légitime dès lors qu'il est signé numériquement à l'aide d'un certificat valide. Windows n'y voit que du feu quand on double-clique sur le fichier .appx vérolé : le système l'exécutera et l'installera sans sourciller.

Une fois la fausse mise à jour installée, un programme intitulé wjoiyyxzllm.exe exécute la librairie wjoiyyxzllm.dll, et télécharge le logiciel malveillant Magniber. Dès lors, il est trop tard pour l'utilisateur : ses fichiers personnels sont instantanément chiffrés et lui est impossible d'en consulter le contenu. Selon les études menées par l'équipe de l'ASEC, le malware ne vole pas les données de sa victime, mais se contente de les rendre inaccessibles. Comme pour toute escroquerie par rançongiciel qui se respecte, si l'utilisateur veut récupérer ses données, il lui faudra envoyer de l'argent aux hackers responsables de la diffusion de Magniber.

Méfiance donc si l'on vous transmet un fichier .APPX prétextant une mise à jour de Chrome et Edge. Ces deux navigateurs se mettant à jour automatiquement, il est inutile de télécharger manuellement une update depuis un site différent de celui proposé tantôt par Google, tantôt par Microsoft. Remarquez enfin que l'installation d'un fichier .APPX sous Windows 11 (autrement que par le Microsoft Store) nécessite l'activation du mode Développeur. Si vous n'avez jamais touché aux réglages proposés par défaut par Windows 11, vous ne devriez pas être inquiété.

Source : ASEC