Les sites de téléchargement illégal sont bourrés de logiciels malveillants et ceux qui s’adonnent à cette pratique prennent un gros risque. Ce n’est pas nouveau. Mais un spécimen de malware plutôt méchant a récemment été découvert et il vaut la peine qu’on s’y attarde. Ainsi, il y a quelques jours, le chercheur en sécurité 0xffff0800 analyse un fichier torrent téléchargé sur The Pirate Bay. Il s’agissait, en occurrence, de « The Girl in the Spiders Web », le dernier volet de la saga Millenium.
Le fichier, largement partagé sur la plate-forme pirate, est en fait un raccourci Windows (.LNK) qui, une fois que l’on clique dessus, exécute un script Powershell. Une technique d’infection très utilisée par le groupe de pirates Cozy Bear, c’est pourquoi ce nom apparaît dans l’étiquette donnée par certains moteurs antivirus.
https://twitter.com/0xffff0800/status/1083585136833179648
Evidemment, il ne s’agit pas ici de l’œuvre de Cozy Bear, une émanation du service secret russe FSB qui réalise des cyberattaques plutôt de manière discrète et ciblée. Comme le souligne le chercheur Nick Carr, cette technique d’infection a tout simplement été reprise par d’autres pirates et se retrouve maintenant un peu partout.
Hey good find, but these are common in pirating – these are not APT29.
Here's another example from a while back: https://t.co/QxPVIb1fZzAfter @felixw3000's blog post on emulating APT29 LNK files was released, many more have popped up.
— Nick Carr (@ItsReallyNick) January 11, 2019
Bleeping Computer a poussé l’analyse de ce malware un peu plus loin et découvert tout un tas de fonctionnalités bien embêtantes. Tout d’abord, il va prendre le contrôle du navigateur de la victime par le biais d’extensions vérolées qui seront installées à l’occasion.
Ces extensions permettent ensuite de falsifier les pages web visitées par l’utilisateur. Ainsi, le malware va injecter des publicités dans la page principale du moteur de moteur de recherche Google. Il va également modifier les résultats de recherche de Google afin de faire la promotion de certains produits. Ainsi, une recherche sur le mot-clé « spyware » a favorisé des pages visiblement créées à la gloire de la solution de sécurité « TotalAV ».
Sur Wikipedia, le malware va insérer un appel aux dons en haut de la page. Le message ressemble à ceux que l’on a l’habitude de voir, à ceci près qu’il propose une adresse bitcoin pour collecter l’argent. « Nous acceptons désormais les cryptomonnaies. Merci d’envoyer votre don à… », peut-on lire dans le faux message.
Enfin, si la victime surfe sur des sites qui proposent des paiements ou des dons en bitcoin ou en ethereum, le malware va systématiquement remplacer les adresses de porte-monnaie par d’autres contrôlées par le pirate. Une arnaque pas facile à détecter, car les adresses bitcoin ou ethereum sont des suites de caractères aléatoires. Il n’est donc pas aisé de les différencier.
Se protéger contre ces malwares n’est pas évident. Ils sont sans cesse renouvelés et pas toujours très bien détectés par les antivirus. Ainsi, dans le cas présent, le fichier torrent vérolé n’a été correctement analysé que par 7 moteurs antivirus sur 54. La meilleure manière pour être à l’abri, c’est encore ne pas utiliser ce type de plate-forme de téléchargement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
