Dans un long article, l’ESET (une entreprise spécialisée dans la sécurité informatique) dévoile sa découverte de Varenyky, un nouveau malware à la cible très restreinte. Surveillé depuis mai 2019, ce virus ne cible que les Français sous Windows qui utilisent une adresse mail Orange ou Wanadoo. Il n’y a a priori aucune raison spécifique derrière ce choix si ce n’est que ses auteurs souhaiteraient se faire les plus discrets possibles.
Verenyky se cache dans une pièce-jointe
Ces derniers mois, vous avez peut-être reçu dans votre boîte mail Orange une facture inconnue d’un montant de 491,27 euros. En cliquant sur la pièce jointe (un fichier .doc en apparence anodin), on tombe sur un tutoriel pour soi-disant lire un document protégé. C’est évidemment un pièce qui incite à donner des autorisations spéciales aux hackers pour qu’ils puissent installer une backdoor en arrière-plan.
Preuve que les pirates ciblent particulièrement les Français, Varenyky effectue quelques vérifications avant de s’installer sur un PC. Première d’entre elles, la langue système est-elle configurée sur français ? Deuxième, l’utilisateur utilise-t-il un clavier disposé en AZERTY français ? Si la réponse à toutes ces questions est « oui », alors le logiciel s’installe en arrière-plan.
Des enregistrements d’écran clandestins
Par la suite, Varenyky va surveiller toutes les entrées de votre clavier. Si un des mots de la liste ci-dessous est inséré par l’utilisateur, alors le malware lance FFmpeg afin d’enregistrer l’écran. Ceci est d’autant plus vicieux que beaucoup de mots pornographiques sont listés, ce qui permet aux hackers de connaître les goûts sexuels de ses victimes. On ne sait pas encore si du chantage sera fait plus tard. A priori, personne ne s’en est plaint pour l’instant.
Parmi les autres mots de cette liste, notons la présence de « Bitcoin » ou de « Hitler ». Le premier pourrait permettre aux pirates de vous voler de l’argent en récupérant votre mot de passe tandis que le second viserait une nouvelle fois à faire chanter l’utilisateur. L’ESET raconte également que Varenyky utilise les comptes mails de ses victimes pour envoyer des spams.
Des hackers français ?
Pour l’instant, on ne sait pas qui est à l’origine du malware. Seule certitude, les auteurs veulent se faire discrets et ciblent pour cette raison une petite base d’utilisateurs (on parle tout de même du plus grand FAI français). Il n’est pas impossible que Varenyky soit un test avant de déployer un malware grandeur nature.
Les chercheurs en sécurité font remarquer que le français utilisé par les pirates est impeccable, ce qui laisse supposer qu’ils sont eux-mêmes français ou pratiquent la langue de Molière couramment. En analysant le virus, l’ESET a trouvé un portail d’accès qui permettrait aux hackers de récupérer les enregistrements d’écran. Très mystérieuse, cette page met en avant une Marianne aux yeux rouges et lit en fond Fuck them all de Mylène Farmer. On ne peut donc que vous recommander de faire attention aux pièces-jointes que vous ouvrez.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.