Chrome : une fausse mise à jour dissimule un logiciel malveillant

Des cybercriminels ciblent les utilisateurs de Microsoft Edge avec de fausses mises à jour du navigateur.

Les fausses mises à jour logicielles sont une des tactiques privilégiées des cybercriminels pour inciter les utilisateurs à télécharger des logiciels malveillants. Aujourd’hui, ces attaques visent de plus en plus les navigateurs. En effet, les mises à niveau de Google Chrome et de Microsoft Edge étant fréquentes, de nombreux utilisateurs ne pensent pas à vérifier l’authenticité d’une notification lui proposant de mettre à jour son navigateur.

À savoir qu’Edge et Chrome représentent à eux deux plus de 84 % du marché des navigateurs pour PC.

Attention au kit Magnitude
Selon un nouveau billet de blog de Malwarebytes, une mise à jour du kit d’exploitation Magnitude découverte récemment inciterait les utilisateurs à installer une fausse mise à jour des navigateurs Microsoft Edge et Chrome.

Magnitude est régulièrement actualisé avec de nouvelles attaques. Cette “nouvelle fausse mise” à jour semble avoir été ajoutée au cours des dernières semaines. Par le passé, Magnitude a fait un usage intensif des vulnérabilités de Flash et d’Internet Explorer.

Concrètement, les analystes du centre d’intervention d’urgence en matière de sécurité AhnLab (ASEC) expliquent que le malware se propage à l’intérieur d’un fichier de mise à jour .appx. Un format sorti avec Windows 8 et toujours exploité par Windows 10 et Windows 11. Le fichier en question s’appelle edge_update.appx ou chrome_update.appx.

Le procédé
L’attaque se déclenche lorsqu’un utilisateur utilise Microsoft Edge ou Google Chrome. Son navigateur lui indique avoir besoin d’une “mise à jour manuelle”. Pour lancer cette fausse mise à jour, il suffit à la victime de cliquer sur un bouton présent sur la page. L’opération ne prend que quelques secondes et Windows laisse la mise à jour se dérouler, sans détecter le moindre problème.

La “mise à jour” est en fait un fichier malveillant de paquetage d’applications Windows (.appx). Le fichier, nommé edge_update.appx ou chrome_update.appx, lance le téléchargement du ransomware Magniber qui crypte les fichiers de l’utilisateur. Autrement dit, le malware ne vole pas les données de sa victime, mais les rend simplement inaccessibles. La victime peut récupérer l’accès à ses fichiers en échange d’une rançon.

Pour rappel, le fichier de mise à jour .appx correspond à un format sorti sous Windows 8 et toujours exploité par Windows 10 et Windows 11. Ici, le fichier .appx est signé avec un certificat valide. Windows le considère donc comme authentique et lance son installation sans vérification.

Quelques conseils
Il est possible de voir quelle version d’Edge un navigateur utilise et si des mises à jour sont disponibles. Pour cela, il suffit d’ouvrir Edge, de sélectionner “Paramètres et autres”, puis “Paramètres”. L’utilisateur doit ensuite faire défiler la page vers le bas et sélectionner “À propos de Microsoft Edge”.

Enfin, il faut avoir que les deux navigateurs Chrome et Edge se mettent à jour automatiquement. Il n’est donc pas nécessaire de télécharger manuellement une mise à jour.