Qu'est ce qui se trouve vraiment dans un fichier téléchargé...


Un exemple typique a récemment été analysé par des chercheurs en sécurité.
Les sites de téléchargement illégal sont bourrés de logiciels malveillants et ceux qui s’adonnent à cette pratique prennent un gros risque. Ce n’est pas nouveau. Mais un spécimen de malware plutôt méchant a récemment été découvert et il vaut la peine qu’on s’y attarde. Ainsi, il y a quelques jours, un chercheur en sécurité analyse un fichier torrent téléchargé sur le site « The Pirate Bay ». serveur informatique permettant le partage de fichiers Il s’agissait, en occurrence, de « The Girl in the Spiders Web », le dernier volet de la saga Millenium.

Le fichier, largement partagé sur la plate-forme pirate, est en fait un raccourci qui, une fois que l’on clique dessus, exécute un script et lace l'infection de votre machine.

Bleeping Computer a poussé l’analyse de ce malware un peu plus loin et découvert tout un tas de fonctionnalités bien embêtantes. Tout d’abord, il va prendre le contrôle du navigateur de la victime par le biais d’extensions vérolées qui seront installées à l’occasion. Ces extensions permettent ensuite de falsifier les pages web visitées par l’utilisateur. Ainsi, le malware va injecter des publicités dans la page principale du moteur de recherche Google. Il va également modifier les résultats de recherche de Google afin de faire la promotion de certains produits.

Sur Wikipedia, le malware va insérer un appel aux dons en haut de la page. Le message ressemble à ceux que l’on a l’habitude de voir, à ceci près qu’il propose une adresse bitcoin pour collecter l’argent. « Nous acceptons désormais les cryptomonnaies. Merci d’envoyer votre don à... », peut-on lire dans le faux message.

Enfin, si la victime surfe sur des sites qui proposent des paiements ou des dons en bitcoin ou en ethereum, le malware va systématiquement remplacer les adresses de porte-monnaie par d’autres contrôlées par le pirate. Une arnaque pas facile à détecter, car les adresses bitcoin ou ethereum sont des suites de caractères aléatoires. Il n’est donc pas aisé de les différencier.

Se protéger contre ces malwares n’est pas évident. Ils sont sans cesse renouvelés et pas toujours très bien détectés par les antivirus. Ainsi, dans le cas présent, le fichier torrent vérolé n’a été correctement analysé que par 7 moteurs antivirus sur 54. La meilleure manière pour être à l’abri, c’est encore ne pas utiliser ce type de plate-forme de téléchargement.

>>>