Le principe est simple : les utilisateurs de Google Chrome reçoivent un e-mail non sollicité leur indiquant qu’une nouvelle extension de leur navigateur favori a été développée afin de simplifier l’accès aux documents envoyés par e-mail.

Un lien à l’apparence anodine est indiqué, et les destinataires sont invités à le suivre afin de télécharger la nouvelle extension. S’ils cliquent dessus, ils sont redirigés vers une page ressemblant à celle des extensions Google Chrome, qui ne leur fournit pas l’extension promise mais une fausse application installant des malwares sur leur système.Bien que la description de la fausse application soit identique à celle de la véritable extension Google Chrome, un élément devrait mettre la puce à l’oreille des utilisateurs attentifs : l’application n’est pas une extension « crx. » mais « .exe ».

Identifiée par BitDefender sous le nom de Trojan.Agent.20577, l’application modifie le fichier HOSTS de Windows afin de bloquer l’accès aux pages web de Google et de Yahoo. Lorsque les utilisateurs souhaitent y avoir accès et tapent « google.[xxx] » ou « [xx].search.yahoo.com » dans le navigateur web, ils sont redirigés vers une autre IP : 89.149.xxx.xxx . Cela permet aux auteurs de ce malware d’intercepter les appels des victimes pour se connecter à ces sites Internet et de les rediriger vers leurs propres versions de ces sites, infectées par des malwares.