Les efforts de Google (lire Google SafeBrowsing et blocage de PUPs/Adwares) et des antivirus semblent porter ses fruits concernant les PUPs et Adwares et Browser Hijacker.
Une assiste bien à une grosse baisse depuis l’année dernière.
Une mutation aussi concernant les propositions d’installation de ces logiciels parasites puisque moins d’exécutable sont proposés mais plutôt des extensions pour les navigateurs internet malveillantes.
Le but est de vous forcer à installer des extensions sous divers prétextes sur Chrome et Firefox, à partir de là, le contrôle du navigateur WEB est possible dont des injections de publicités.
Il est fort possible que les éditeurs se concentrent sur mobile et Mac.
Table des matières
Exemple d’extensions malveillantes
Les trois plateformes de distribution d’adwares et programmes potentiellement indésirables sont beaucoup moins actifs :
- InstallCore : PUPs et Adwares
- Win32/Amonetize : Adwares et PUPs
- PUP.Optional.Tuguu / Adware.Win32.DomaIQ / PUP.OutBrowse
Il reste tout de même des campagnes très actifs sur les sites de streaming illégaux.
A ce propos, lire les virus sur les sites de streaming illégaux) et torrent qui proposent d’installer des extensions sur les navigateurs qui visent à détourner les paramètres des moteurs de recherche ou faire office d’adware (logiciels publicitaires).
Les outils de suppression d’adwares et virus type AdwCleaner ou ZHPCleaner sont souvent inefficaces face à ces extensions malieuses.
NOD32 peut détecter ces dernières en JS/Chromex.Submelius.
Browser Hijacker
Les Browser Hijacker sont des logiciels qui modifient les paramètres des navigateurs WEB pour imposer un moteur de recherche par défaut et en page d’accueil / démarrage.
Le but est de faire monter artificiellement l’audience du moteur en obligeant les internautes à utiliser celui-ci.
L’extension vise à prendre le contrôle des paramètres de Chrome ou Firefox pour installer un moteur de recherche.
Il s’agit d’une arme dans la guerre des moteurs de recherche, lire à ce propos notre dossier : La guerre des moteurs de recherche sur internet et le dossier sur les Browser Hijacker.
Voici quelques exemples de ces campagnes :
Ces extensions malveillantes ont pour objectif d’installer un moteur de recherche en page d’accueil et à l’ouverture de nouvel onglet (newtab).
On retrouve notamment search.mysearch.com ou d’autres moteurs search. avec des adresses qui changent régulièrement.
Le but est de faire gagner de l’argent à ces moteurs de recherche à travers les publicités qui vont s’y ouvrir.
Notez ci-dessous, que Google Chrome ouvre une popup “Est-ce la page nouvel onglet que vous attendiez” qui permet de restaurer les paramètres afin de désactiver l’extension parasite et retrouver la page nouvel onglet souhaitée.
Chez Clubic, on propose Ad-Aware Search helper, une extension qui vise à pousser le moteur de recherche Yahoo!
Extension parasite ?
Cette extension est en ligne droite sur Google SafeBrowsing et blocage de PUPs/Adwares
Browser Hijacker et abuser du Google Web Store
L’article suivant montre comment les diffuseurs d’extensions parasites abusent du Google Web Store pour faire installer des extensions malveillantes : Browser Hijacker et Google Webstore Abuse
Publicités intempestives
Ces extensions sont des adwares (logiciels publicitaires) qui va ouvrir des onglets de publicités durant la navigation et aussi remplacer le site visité par une publicité.
Le but est donc d’en installer le plus pour maximiser les revenus qui vont se faire par l’affichage de ces pub intempestives.
Les pubs ne sont pas dangereuses en soi, mais plutôt agaçantes.
Bien qu’elles peuvent faire la promotion de logiciels de nettoyages type arnaque comme Reimage Repair ou d’autres arnaques.
Par exemple ci-dessous, le forum malekal à l’adresse forum.malekal.com ouvre une page d’arnaque de support téléphonique :
Faux prétexte pour installer les extensions malveillantes
Ces messages pour vous faire installer des extensions malicieuses peuvent aussi être insistantes et utiliser de faux prétextes.
Cette proposition passe le navigateur WEB Chrome en plein écran pour rendre la fermeture plus difficile.
La demande d’installation boucle jusqu’à ce que vous installiez celle-ci.
Même chose, ci-dessous avec un prétexte d’ajout important, toujours sur Chrome.
Notez que bien souvent, ces extensions portent des noms anglophones.
Autre exemple qui vise Firefox avec une fausse mise à jour, là aussi la demande passe en plein écran.
Des popups d’authentification s’ouvre en permanence pour prévenir de la fermeture de la page et forcer l’installation.
ou encore cette fausse mise à jour de Firefox en français cette fois-ci et qui affiche une vrai page de Firefox que l’on peut obtenir sur Windows mais sur une page internet.
Les internautes qui ont du mal à faire la différence peuvent croire qu’il s’agit d’une vrai page.
Plus de détails sur ces méthodes dans cet article complet.
Supprimer les extensions malveillantes de Google Chrome ou Mozilla Firefox
La désinfection est extrêmement simple puisqu’il suffit de supprimer l’extension malicieuse.
- Sur Mozilla Firefox : cliquez sur le menu en haut à droite puis Modules, dans l’onglet extensions, supprimer l’extension parasite.
- Sur Google Chrome : ouvrez un nouvel onglet, et dans la barre d’adresse, saisissez chrome://extensions et cliquez sur l’icône poubelle sur l’extension parasite.
Dans Google Chrome, vous pouvez accéder aux paramètres d’extension par le menu suivant.
La liste des extensions s’affichent.
L’extension parasite est en général, en anglais, avec des descriptions pas très compréhensible.
Cliquez sur l’icône poubelle pour la supprimer.
Ou encore vous pouvez réinitialiser les navigateurs WEB :
- Réinitialiser et réparer Mozilla Firefox
- Réinitialiser et réparer Google Chrome
- Réinitialiser et réparer Microsoft Edge
et hop votre navigateur WEB est comme neuf.
Dans le cas où cela ne fonctionne pas, vous pouvez réinstaller complètement le navigateur, se référer aux paragraphes liés aux tutos précédents.
Pour une procédure plus complète, rendez-vous sur la page: