Les chercheurs de Gen Threat Labs ont découvert une campagne malveillante propageant une porte dérobée (backdoor) sur les ordinateurs Windows en France. Apparue en 2023, la porte dérobée WarmCookie est conçue pour faciliter l’installation d’autres logiciels malveillants.
🚨 Beware of an ongoing #FakeUpdate campaign targeting FR 🇫🇷! Instead of the browser update, it spreads #WarmCookie #backdoor via compromised websites.
The #WarmCookie itself has been updated as well. The new version supports these commands:
1 – Get CPU identification and memory… pic.twitter.com/OCKVS5BtyW— Gen Threat Labs (@GenThreatLabs) September 30, 2024
Comme l’explique eSentire, la société à l’origine de la découverte de WarmCookie l’an dernier, le malware est capable de voler vos données personnelles, tous les fichiers stockés sur l’ordinateur, et d’exécuter des commandes à votre insu. À ses débuts, le virus était exploité par des pirates russes, qui glissaient leurs logiciels de fausses offres d’emploi.
À lire aussi : Un malware Android « sournois » veut vous bombarder de publicités intrusives
Une nouvelle version encore plus redoutable de WarmCookie
Pour Gen Threat Labs, la campagne repose sur une nouvelle version de WarmCookie. Cette nouvelle itération est en mesure de prendre des captures d’écran, ce qui peut permettre aux hackers d’exfiltrer des données sensibles. En prenant des captures, les cybercriminels peuvent en effet découvrir vos identifiants, vos mots de passe ou encore vos coordonnées bancaires.
Plus largement, cette fonction de WarmCookie permet d’espionner tout ce que vous faites sur votre ordinateur. Les pirates peuvent lire vos mails, vos conversations Messenger ou encore vos appels vidéo sur Zoom.
Par ailleurs, le virus collecte des informations sur le matériel de l’ordinateur, comme le type de processeur et la quantité de mémoire vive (RAM). Ces informations peuvent être utilisées pour adapter les actions du malware à la configuration du système. Le malware récupère aussi la liste des programmes installés en accédant aux entrées du registre de Windows. Cette tactique l’aide à connaître les logiciels présents sur la machine dans le but d’exploiter leurs éventuelles vulnérabilités.
Ensuite, le malware crée un fichier sur l’ordinateur pour y stocker des données malveillantes ou pour installer un autre logiciel malveillant ultérieurement. Les données sont évidemment transmises à un serveur distant au cours de la cyberattaque. Enfin, WarmCookie se copie lui-même dans le dossier temporaire de Windows afin de pouvoir résister aux redémarrages du système.
L’enfer des fausses mises à jour
Pour glisser la backdoor sur les ordinateurs des victimes, les cybercriminels se servent de fausses mises à jour pour des navigateurs populaires, comme Google Chrome, Mozilla Firefox et Microsoft Edge. Les experts ont également repéré le virus dans une fausse mise à jour de Java. En naviguant sur la toile, l’internaute va tout à coup être bombardé de fenêtres surgissantes. Ces fenêtres vont parfois prendre tout l’écran et assurer qu’il est impératif de mettre à jour le navigateur web. On a tous déjà croisé ce type de publicités agaçantes, surtout sur des sites douteux.
C’est un leurre classique employé par les criminels. Cette tactique d’infection s’intitule FakeUpdate, ou encore ScreenLocker. Une fois que l’utilisateur clique sur la fausse notification, il est redirigé vers une page qui imite le processus de mise à jour. L’écran est occasionnellement verrouillé par un faux processus de mise à jour. Il est impossible d’accéder à son ordinateur. Pendant ce temps, des logiciels malveillants sont installés en arrière-plan.
En l’occurrence, un clic sur la fenêtre active un script JavaScript qui télécharge WarmCookie directement sur la machine. Les pirates demandent ensuite à la victime d’enregistrer le fichier sur son ordinateur. Sans surprise, le fichier est nommé afin d’endormir la méfiance des cibles.
La campagne bat son plein en France
La plupart des usagers sont conscients qu’il s’agit d’un piège et qu’il ne faut pas en tenir compte. Néanmoins, les internautes les moins aguerris, comme les personnes âgées, peuvent encore tomber dans le panneau. Selon Gen Threat Labs, WarmCookie vise actuellement les internautes en France. On vous recommande donc de redoubler de prudence, et de ne surtout pas cliquer sur les fenêtres qui vous poussent à installer une mise à jour. Pour rappel, tous les navigateurs comme Chrome, Edge et Firefox se mettent à jour automatiquement dès qu’une nouvelle version est disponible.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
