Dans un rapport publié ce 9 mai 2023, Jérôme Segura, directeur de recherche sur la menace chez Malwarebytes, analyse une nouvelle campagne de fausses mises à jour. Elle dissimule un infostealer, un malware spécialisé dans le vol de données. Les cybercriminels se servent du fonctionnement des publicités pop-up – les fenêtres secondaires qui surgissent – pour piéger leur victime.
La page en question n’a rien d’une réclame, puisqu’une animation s’affiche en plein écran, lançant prétendument une mise à jour Windows sur l’ordinateur. Le stratagème est suffisamment bien travaillé pour être convaincant, notent les experts en cybersécurité, et laisse croire que l’ordinateur est prêt à relancer le système.
Le rapport précise que les cybercriminels ciblent d’abord les sites pour adultes en achetant des publicités pour diffuser cette page piégée. Le simple affichage du panneau ne lance pas le malware, mais laisse l’internaute cliquer sur un « ok » pour « terminer la mise à jour ». Un dossier baptisé « ChromeUpdate » (mise à jour Chrome) va alors s’installer, contenant le logiciel malveillant. Malwarebytes a identifié l’infostealer Aurora, connu pour être en vente pour quelques centaines d’euros sur les forums de hackers. Ce stealer va rafler toutes les données possibles jusqu’à s’infiltrer dans les gestionnaires de mots de passe de Google. Des caractères en cyrillique ont été découverts dans le code du logiciel.
Des liens avec la Russie ?
Le malfaiteur suit l’activité de son piège. Il téléchargeait lui-même de nouvelles versions de son logiciel sur VirusTotal, une base de données de malware de Google, pour vérifier qu’il n’était pas repéré par des experts en cybersécurité. Pendant plus de deux semaines, ses échantillons n’ont fait l’objet d’aucune détection. Le cybercriminel utilise des outils open source pour suivre les statistiques de visite de sa fausse page web. D’après les chiffres fournis, il y a eu 27 146 victimes uniques potentielles : 585 d’entre elles ont téléchargé le logiciel malveillant au cours des 49 derniers jours.
Le malfaiteur aurait laissé une possible référence à la guerre menée par la Russie en Ukraine dans le code de sa page. « Attention, nous recommandons de détruire toutes les armes, une paie stable ne pourra être assurée sinon. » Impossible de savoir qui cela concerne aujourd’hui. Certains des sites web appartenant au même propriétaire ne chargeaient pas de logiciels malveillants, mais contenaient une vidéo YouTube vantant les mérites des villes et des paysages de Russie.
Si vous tombez sur cette page, le mieux reste de fermer votre navigateur et nettoyer le cache et cookies.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !