Les premières traces de ce subterfuge remontent au début du mois de janvier. Son objectif final ? L’installation d’un malware baptisé ModeloRAT dans des environnements d’entreprise.

Mais pour y parvenir, les cybercriminels ont dû trouver une porte d’entrée discrète et elle se nomme NexShield.

Ce bloqueur de publicités, présenté sur les boutiques d’applications de Google Chrome et Microsoft Edge comme léger, performant et respectueux de la vie privée, était faussement attribué à Raymond Hill, le développeur d’un autre bloqueur de publicités légitime, uBlock Origin, qui compte plus de 14 millions d’utilisateurs.

Intégrée dans un protocole d’attaque particulièrement sournois, la partie malveillante de l’extension n’était exécutée qu’au bout de 60 minutes après l’installation, afin de brouiller les pistes.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Capture d’écran de la page de téléchargement de NexShield // Source : Huntress.com

NexShield, la première étape vers le ClickFix

Concrètement, une fois installée, NexShield sature les capacités du navigateur en provoquant un déni de service (DoS), comprenez une attaque DDoS ne provenant que d’une seule source.

En créant des connexions de port dans une boucle infinie et en épuisant la mémoire disponible, l’extension entraîne le gel des onglets, une forte hausse de l’utilisation du processeur par le processus Chrome, une augmentation de la consommation de la mémoire vive (RAM) et un ralentissement général du navigateur, jusqu’au blocage ou au plantage, obligeant l’utilisateur à le fermer via le gestionnaire des tâches Windows.

Au redémarrage, l’extension affiche alors une fenêtre contextuelle trompeuse, présentant un faux avertissement et suggérant d’analyser le système pour identifier l’origine du problème.

C’est ici que se referme le piège : cette action ouvre une nouvelle fenêtre détaillant la marche à suivre pour « corriger » la situation, ce qui implique d’exécuter des commandes malveillantes. Une méthode d’attaque déjà largement documentée sous le nom de ClickFix.

Une commande pré-rédigée par les pirates est alors copiée dans le presse‑papiers et il suffit à la victime d’appuyer sur « Ctrl+V » pour déclencher son auto-piratage. La commande déclenche l’exécution d’un script PowerShell malveillant permettant l’installation du fameux ModeloRAT.

La désinstallation de l’extension ne suffit pas

Pour les victimes, le risque est immense : ModeloRAT dispose de capacités de prise de contrôle à distance d’un poste Windows, avec collecte d’informations système détaillées et communication chiffrée vers un serveur de commande.

D’ailleurs, les utilisateurs de Windows restent les cibles privilégiées de ces attaques ClickFix, déjà exploitées dans d’autres campagnes, notamment celles simulant un écran bleu de la mort pour pousser les victimes à exécuter des commandes malveillantes.​

L’extension NexShield a depuis été retirée du Chrome Web Store, mais les personnes l’ayant installée doivent procéder à un nettoyage complet de leur système, la simple désinstallation ne supprimant pas forcément toutes les charges utiles.