Cette extension se fait passer pour une extension Google Sheets (feuilles de calcul Google) apparemment officielle. Cependant, il s’agit d’un module complémentaire installé par le logiciel malveillant pour Windows ViperSoftX, un RAT (Remote Access Trojan) qui cherche à prendre le contrôle des ordinateurs des utilisateurs.
Comment fonctionne le logiciel malveillant ViperSoftX
Ce malware (ainsi que sa variante VenomSoftX) est actif depuis 2020 et a été observé dans de nombreux pays, tant aux États-Unis qu’en Amérique du Sud et en Europe. En 2022, ce cheval de Troie est revenu à ses anciennes habitudes de manière beaucoup plus agressive pour récupérer le nombre d’ordinateurs contrôlés qu’il avait il y a des années.
Le mode de distribution de ce malware se fait principalement par le biais de téléchargements illégaux. Comme le prévient la société de sécurité Avast, il a été trouvé dans de nombreux jeux pirates telecharges depuis torrentainsi que de nombreux activateurs et programmes précédemment activés avec des techniques illégales.
Les premières versions de ce cheval de Troie se cachaient sur l’ordinateur en attendant de recevoir des ordres d’un serveur de contrôle à distance pour commencer à agir. Cependant, bien que les nouvelles versions et variantes soient globalement similaires, les pirates ont cherché à profiter de Google Chrome afin d’avoir encore plus de contrôle sur les ordinateurs et, accessoirement, faciliter la capture des crypto-monnaies, mots de passe et autres informations sensibles des victimes. .
Google Sheets 2.1 : l’extension cauchemardesque
Au début de l’année, le malware a installé une extension appelée « Update Manager » dans le navigateur. Cependant, les dernières versions de ce cheval de Troie ont changé son nom en « Google Sheets 2.1 ». De cette façon, il se fait parfaitement passer pour l’extension Google et peut rester installé sans éveiller les soupçons.
L’objectif de cette extension est simple : rester installé sur le PC le plus longtemps possible afin de pouvoir voler tous les portefeuilles de cryptomonnaies des victimes. Les portefeuilles qu’il cible sont Blockchain.com, Binance, Coinbase, Gate.io et Kucoin, bien qu’il vérifie également le presse-papiers pour toutes les adresses de blockchain copiées. En plus de rechercher activement des crypto-monnaies, ce malware cible également les vol de mot de passe des victimes.
Lorsqu’il collecte toutes les informations, il envoie un fichier avec les adresses et mots de passe de crypto-monnaie capturés au serveur des pirates.
Comment le trouver et le supprimer
Google Sheets dans Chrome est installé en tant qu’application (c’est-à-dire à l’intérieur de chrome://apps) et non en tant qu’extension. Par conséquent, le moyen le plus rapide de voir si nous l’avons installé ou non est d’écrire chrome://extensions dans la barre d’adresse et de regarder si l’extension Google Sheets apparaît. Si vous le faites, soyez prudent. nous sommes infectés par ce malwareet nous devrons supprimer l’extension et analyser l’ordinateur avec un bon antivirus pour le supprimer complètement du PC.
Si cette extension n’apparaît pas sur l’ordinateur (et qu’elle ne s’appelle pas non plus Update Manager), alors nous avons de la chance et notre PC est en sécurité.