Une nouvelle technique d’attaque a émergé en exploitant les crashs de navigation au sein du navigateur Chrome. Baptisée CrashFix, cette méthode s’inspire de la tactique ClickFix en exploitant les utilisateurs face aux plantages du navigateur pour les inciter à exécuter des commandes malveillantes.
Derrière ce leurre se cache la diffusion de ModeloRAT, un logiciel malveillant qui permet un contrôle à distance complet des systèmes infectés. Cette campagne marquée de cyberattaque met une fois de plus en avant la sophistication croissante des malwares maîtrisant des méthodes d’ingénierie sociale particulièrement percutantes.
L’exploitation des crashs de navigation : une ruse redoutable
CrashFix s’appuie sur une extension Chrome frauduleuse présentée comme un ad blocker, nommée « NexShield – Advanced Web Guardian ». Cette extension prétend protéger la sécurité informatique en bloquant les publicités et le contenu indésirable, mais son but est tout autre. Elle déclenche délibérément un crash de navigation via une attaque par déni de service interne (DoS), provoquant le gel complet du navigateur.
Ce dysfonctionnement incite alors les victimes à accepter une fausse alerte de sécurité proposant de lancer un scan censé réparer l’erreur. En réalité, cette alerte invite à exécuter une commande qui plonge le navigateur dans une boucle infinie crashant l’application et alimentant le cycle de la fraude.
L’enchaînement vers ModeloRAT par des techniques d’ingénierie sociale sophistiquées
Une fois la victime piégée dans ce cycle de plantage, l’extension commence à transmettre des données uniques à ses serveurs contrôlés par les attaquants. Ce tableau de bord permet de suivre les victimes et déclenche la diffusion répétée d’une charge utile toutes les dix minutes. Cette charge utile est une implémentation furtive de ModeloRAT, un logiciel trojan d’accès à distance.
Ciblant principalement des machines attachées à un domaine d’entreprise, ModeloRAT utilise des systèmes complexes de communication chiffrée RC4 pour rester invisible et assurer une persistance via le registre Windows. Capable d’exécuter différents types de charges, il orchestre un accès profond pouvant servir à des activités criminelles telles que le déploiement de ransomware.
Les implications pour la cybersécurité et la vigilance des utilisateurs
L’attaque CrashFix illustre parfaitement comment les cyberattaques utilisent désormais non seulement la technique brute, mais aussi la manipulation psychologique. En exploitant le clic impulsif et la frustration générée par un crash de navigateur, elle crée un environnement où l’utilisateur se trouve piégé par ses propres réactions. Cette sophistication invite à revoir drastiquement les méthodes de détection et d’éducation à la sécurité.
Les infections par RAT comme ModeloRAT restent extrêmement dangereuses dans un contexte professionnel, car elles ouvrent des accès durables et difficiles à identifier sans solutions dédiées. La prudence dans l’installation d’extensions et la vérification rigoureuse des sources s’imposent désormais comme des réflexes incontournables.
