Le principe est simple : les utilisateurs de Google Chrome reçoivent un e-mail non sollicité leur indiquant qu 'une nouvelle extension de leur navigateur favori a été développée afin de simplifier l 'accès aux documents envoyés par e-mail.
Fig. 1 Message de spam utilisé pour diffuser le lien malveillant
Un lien à l 'apparence anodine est indiqué, et les destinataires sont invités à le suivre afin de télécharger la nouvelle extension. S 'ils cliquent dessus, ils sont redirigés vers une page ressemblant à celle des extensions Google Chrome, qui ne leur fournit pas l 'extension promise mais une fausse application installant des malwares sur leur système.Bien que la description de la fausse application soit identique à celle de la véritable extension Google Chrome, un élément devrait mettre la puce à l 'oreille des utilisateurs attentifs : l 'application n 'est pas une extension ” crx. ” mais ” .exe “.
Fig. 2 La cachette du cheval de Troie
Identifiée par BitDefender sous le nom de Trojan.Agent.20577, l 'application modifie le fichier HOSTS de Windows afin de bloquer l 'accès aux pages web de Google et de Yahoo. Lorsque les utilisateurs souhaitent y avoir accès et tapent ” google.[xxx] ” ou ” [xx].search.yahoo.com ” dans le navigateur web, ils sont redirigés vers une autre IP : 89.149.xxx.xxx . Cela permet aux auteurs de ce malware d 'intercepter les appels des victimes pour se connecter à ces sites Internet et de les rediriger vers leurs propres versions de ces sites, infectées par des malwares.