Passer au contenu

Windows : un dangereux virus que (presque) rien n’arrête cible les PC

Une nouvelle menace se répand sur certaines machines fonctionnant sous Windows. Ce malware, répondant au nom de Phemedrone Stealer, s’attaque aux données les plus sensibles, comme vos identifiants et mots de passe.

Phemedrone Stealer. Retenez bien ce nom, car il s’agit d’une redoutable menace ciblant actuellement les ordinateurs fonctionnant sous Windows. Identifié par les chercheurs en sécurité de Trend Micro au cours d’une « chasse aux menaces de routine », ce logiciel malveillant particulièrement vicieux est capable de passer outre Microsoft Defender, le système antivirus installé nativement sur Windows.

Vol d’identifiants, de portefeuilles crypto et captures d’écran

Pour infecter les machines des utilisateurs, Phemedrone Stealer exploite la faille CVE-2023-36025 qui affecte Windows Defender Smartscreen. Cette faille découle d’une absence de vérification quant à la sécurité des raccourcis internet (.url). De ce fait, les pirates profitent de l’occasion pour générer des fichiers .url malveillants qui se chargent de télécharger et d’exécuter des scripts malveillants, en coutournant l’avertissement généré par le contrôle de Smartscreen.

Phemedrone Stealer cible principalement les navigateurs Web ainsi que les données de portefeuilles de cryptomonnaie. Sur Chrome, par exemple, ce malware est capable de collecter de nombreuses données : mots de passe, cookies, informations enregistrées dans les modules de remplissage automatique des gestionnaires de mots de passe comme LastPass, KeePass, NordPass, Google Authenticator, ou encore Microsoft Authenticator. Il peut également infecter des applications de messagerie comme celles de Steam, ou encore Telegram et Discord dans le but d’extraire vos données personnelles, notamment celles liées à l’authentification. Des applications comme FileZilla, un client FTP, sont aussi ciblées, le malware se chargeant alors de capturer les détails de connexion FTP ainsi que les différentes informations d’identifications enregistrées dans le programme.

Écrit en C#, le code de ce programme malveillant, maintenu sur Github et Telegram, est open source. Il peut aussi bien réaliser des captures d’écran de votre PC à votre insu, que de siphonner vos données personnelles. Une fois ces données volées, elles sont envoyées aux hackers via Telegram, ou sur un serveur sous leur contrôle.

Pour commettre leur méfait, les hackers diffusent une série de fichiers de raccourcis au format .url sur différentes plates-formes, comme Discord, ou sur des services de stockage en ligne, comme FileTransfer.io. Pour couronner le tout, ils utilisent par ailleurs des services de raccourcisseur d’URL, comme shorturl.at dans le but de brouiller encore un peu plus les pistes. Reste ensuite à atteindre que le poisson, un utilisateur peu méfiant, morde à l’hameçon en cliquant sur le lien malveillant pour que ce dernier exploite la brèche.

Une faille corrigée par Microsoft, mais toujours activement exploitée

Le plus surprenant dans cette histoire reste sans doute que la faille exploitée par les pirates a déjà été corrigée par Microsoft, en novembre dernier. Le correctif ayant été publié, les détails de cette brèche ont depuis été mis en ligne sur la Toile. Les hackers, toujours à l’affût des machines sur lesquelles le correctif n’a pas été appliqué (et qui sont donc toujours vulnérables) en ont ainsi profité pour mener une campagne d’infection d’envergure ciblant celles-ci. Encore une raison, s’il en fallait une, pour veiller à ce que les dernières mises à jour soient correctement installées sur votre PC.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : TechRadar


Geoffroy Ondet
Votre opinion
  1. Ce qui m’interpelle c’est l’accessibilité du malware à tout un chacun sur Github, je viens de voir le dépôt tout y est pour démarrer une campagne de piratage. Sachant que github appartient à Microsoft, je ne comprends pas pourquoi le dépôt Git est toujours accessible et héberge le malware dans sa version exécutable ou à compiler.

  2. “‘Écrit en C#, dont le code de ce programme malveillant, maintenu sur Github et Telegram, est open source”

    V’là le torchon ! Vous vous relisez ? Qu’est ce que ça veut dire ? Il y a un verbe mais je cherche le sujet et le sens de la phrase. Le reste est de l’article est juste bon pour allumer la cheminée.

    1. Bonjour Pgpg,

      Merci pour votre remarque tout en délicatesse. C’est justement en me relisant que j’ai modifié la phrase, et oublié de supprimer le mot “dont”. J’en suis entièrement responsable. L’erreur est à présent corrigée, grâce à votre vigilance.

      Toutefois, il semble que vous ayez aussi, de votre côté, oublié de vous relire (“Le reste est de l’article est juste…”), mais l’erreur est humaine, après tout. Pour ce qui est du torchon et de la cheminée, je ne vous en tiens pas rigueur (attention néanmoins si votre PC intègre une batterie, au risque d’explosion dans la cheminée).

      Excellente journée à vous 🙂

      1. C’est dommage ce manque de fair play envers une personne qui prend soin de nous renseigner et pour nous éviter des ennuis. Merci pour cet article.

  3. Les premiers virus on été créer par les gens même qui on inventer les Anti virus pensez y a qui ca profite ce Sistem Aujourd’hui /?

    A ma grande surprise ce 24 janvier 2024 j’ai pu constater cette absurde décision de micropassoft de maintenant faire payer un service essentiel au bon fonctionnement de nos PC oui on ne peut plus être un minimum protéger sans payer payer payer et des forfait pour tout c’est la mode d’aujourd’hui toujours aller chercher le plus de cash possible de partout comme ca on est endetter a crédit et on devient malade pour nourrir le Sistem

    Alors la bonne nouvelle mais pas pour eux c’est que la fin de cette mode approche car plus personnes ne peut continuer ainsi dans cette absurdité des plus totale ce monde touche a ca fin, la fin des hypocrites.

    Ils vous diront oui faut bien les payer les gens qui bossent ? vous voulez dire vos robots qui les remplacent qui n’ont pas la compréhension de l’humain car eux même pensent qu’au profit donc il faut du rendement pas besoin de les nourrir et d’avoir de revenue eux.

    ah mais les serveur ca coute cher faut les entretenir oui oui plus ils recueilles nos donner qu’ils revendent a prix Dor plus il nous font payer pour leur propre décisions qui nous imposent.

    ils peuvent donner toutes les excuses du monde c’est gens la ne pourront pas continuer de la sorte a un moment ou un autre on n’arrivera a un cap de saturation et de non sens

    Ils devront changer pour bigfatnosoft at all je pense

    Imaginons qu’un concessionnaire auto vous vendent une voiture sans ceintures sans airs bag sans assistance et qu’il nous demande de payer pour notre propre sécurité avec un véhicule garantie mais avec option de protection payante vous imaginez bien vous exploseriez non c’est exactement ce que fait en 2024 Microsoft quand on est de plus en plus vulnérable au attaques cyber qu’il façonne eux même

Les commentaires sont fermés.