Infecté ? Site détourner par des russes Résolu

Question

Bonjour,

Je voulais accéder au site de la société de production Naïka films (pour postuler). J'y accède par une recherche google sur mon ordinateur, et en ouvrant le site je tombe sur une page (avec autre Url) d'un message en français disant d'accepter la notification. C'était sous forme d'illustration d'un dessin d'un chien et le message inscrit dans une bulle comme dans les BD, et une voix synthétique répétant le message.

J'ai la petite fenêtre de notification qui s'affiche (exactement comme celle qui te demande l'autorisation d'accéder au micro et caméra quand on est sur Zoom, par exemple) sauf que là c'est un symbole de cloche avec marqué Capchat, et sans trop réfléchir j'accepte, la page se rafraichit rapidement mais je reste sur la même page.

Étant sur Brave, je sais que le bouclier bloque trop parfois, donc je le désactive et réactualise, d'autres d'url se chargent très rapidement, j'ai le temps d'apercevoir une page avec des petits bloc de couleur en pyramide aligné sur l'horizontal, avant de retomber sur la page qui demande d'accepter la notification. Là je me dis que c'est très louche, je vais voir mon historique, et j'aperçois plusieurs Url en .ru, avec une icone de dossier.

Paniqué j'ai directement supprimé toutes les données navigation de la dernière heure, puis j'ai été supprimé toutes les autorisations de site que je trouvais louche dans les paramètres de Brave. J'ai aussi aperçu que l'option "bloquer les scripts" est désactivé (mais vu que ça modifie l'interface google je laisse désactiver).

Dans la panique je n'ai prit aucune capture d'écran et je ne me souviens plus des url précis. Windows Defender n'a trouvé aucune menace après analyse.

Pensez-vous que mon ordinateur a pu être infecté ?

Merci.
Windows / Chrome 128.0.0.0

bazfile · Answer

Bonjour @Vik6 .

Ça m'étonnerait que ton pc soit infecté, mais ça peut te rassurer je peux vérifier ça.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ ou sur https://pixeldrain.com/ .

Puis donne les deux liens générés par https://www.cjoint.com/ ou https://pixeldrain.com/dans ta réponse

Vik6 · Answer

Bonsoir, merci pour ta réponse, ce qui m'inquiètais c'est que je ne sais pas quels autorisations j'ai donné au site quand j'ai accepté la notification, et comme ensuite j'avais désactivé le bouclier de Brave. Je suppose que l'attaquant à mit ça en place pour infecter les gens se rendant sur le site.

Avec le rapport du logiciel FRST, tu pourrais voir des choses que l'antivirus n'aurait pas détecter ?

Vik6 · Answer

En me renseignant je suis tombé sur cet article qui représente assez bien ce que j'ai eu: https://keepaware.com/blog/threats/browser-notifications-hijacking/

Je n'avait pas de capchat à faire, juste une notification web "[icônes cloche] Capchat ://vtdcketc..." où j'avais le choix d'autorisé ou bloqué. Et par contre, au lieu de me rediriger vers le vrai site, il m'avait redirigé sur des Url russes, avant de revenir sur la page initiale pour accepter la notif.

Comme dit dans l'article, l'attaque consisterai ensuite a envoyé, 15min + tard, de fausses notification d'infection de virus dans le centre de notif windows, et c'est là qu'en cliquant sur ces notifications ça installe le malware.

Comme j'ai supprimé toutes les données navigation du moment et révoquer de suite toutes autorisation de site me paraissant louche, dans les paramètres de mon navigateur, je n'ai jamais reçu ces notification dans le centre de notif Windows.

Si ça peut en aider d'autres personnes dans le futur.

Infecté ? Site détourner par des russes

3 réponses

Votre réponse

Discussions similaires

Newsletters