Certains rançongiciels exigent des dizaines de millions de dollars à leurs victimes. Celui-ci se contentera d’un code cadeau d’une valeur de 9,99 dollars. Le Bleeping Computer a analysé l’étrange « NitroRansomware », qui prend son nom de Discord Nitro, la version premium de l’application de discussion.
Pour 9,99 dollars par mois, les abonnés à Nitro s’offrent quelques avantages techniques (streamer avec une meilleure qualité d’image, publier des fichiers plus lourds, « booster » son serveur…), mais aussi esthétiques (emojis, personnalisation du profil…). Autrement dit, Nitro n’est pas nécessaire pour profiter pleinement de Discord, mais il donne accès à des options de confort. La plateforme propose de s’abonner au mois ou à l’année, mais aussi d’acheter un abonnement pour l’offrir à un autre utilisateur. Une fois le paiement effectué, l’acheteur obtiendra une URL sous la forme https://discord.gift/ suivi d’un code unique qu’il pourra envoyer à un ami.
Bien que facultatif, Nitro attire la convoitise. Il existe notamment un mythe autour des « générateurs de Nitro », des scripts qui seraient capables de créer des codes cadeau pour activer l’abonnement. Les malfaiteurs savent que ce genre d’outils frauduleux sont recherchés sur des forums ou canaux de discussion peu régulés. Ils en profitent donc pour cacher des malwares (dont le NitroRansomware) sous l’apparence d’un générateur. C’est une couverture parfaite, puisque le côté illégal du supposé générateur justifie qu’il faille désactiver les protections de l’ordinateur, et ainsi le rendre vulnérable au malware.
L’utilisateur de Discord va télécharger le fichier puis l’exécuter sur son PC, mais il n’obtiendra jamais les codes espérés.
Rançongiciel raté
Le NitroRansomware va se déployer sur l’ordinateur et chiffrer les fichiers qu’il y trouve. Concrètement, le chiffrement empêche de lire le contenu des documents, et les logiciels de l’appareil cesseront de fonctionner. Pour impressionner la victime, ce ransomware va aussi changer le fond d’écran de l’ordinateur par un logo modifié de Discord avec des cornes de diable, relève le Bleeping Computer.
Le seul moyen — en théorie — pour inverser ce chiffrement est d’obtenir la clé de déchiffrement de la part des malfaiteurs. Habituellement, les malfrats déposent une note de rançon succincte sur les appareils infectés, sous la forme d’un post-il virtuel. Les développeurs de NitroRansomware ont, de leur côté, préféré créer un écran de rançon de leur cru, qui s’affichera en pleine page. En haut de l’écran, un message « Oh non, vos fichiers ont été chiffrés ». À gauche, les malfrats affichent un chronomètre de trois heures, au terme duquel la victime doit payer, ou alors « ses fichiers disparaîtront à jamais ». À droite, ils expliquent le principe de l’opération : la victime doit rentrer un code Nitro dans la barre prévue à cet effet pour obtenir l’outil de déchiffrement.
Plus qu’un simple rançongiciel
Le Bleeping Computer note que puisque la clé de déchiffrement est contenue dans le fichier téléchargé par la victime, il n’est pas nécessaire de payer la rançon : des personnes compétentes seront capables d’extraire la clé de déchiffrement du fichier, et de s’en servir pour annuler les dégâts. Et ce n’est pas tout : le chronomètre de 3 heures n’est qu’un subterfuge pour précipiter la décision des victimes, il ne supprimera pas le contenu de l’ordinateur.
Malgré ces défauts de fabrication, ce malware est dangereux, car il s’avère être plus qu’un rançongiciel. C’est aussi un « grabber », capable de dérober les jetons d’authentification à Discord. Ces jetons permettront aux malfaiteurs de se connecter au compte sans même avoir obtenu les identifiants de sa victime. Les victimes du NitroRansomware devront donc changer leur mot de passe (ce qui modifiera les jetons), mais aussi scanner leur ordinateur à la recherche d’autres éventuels malwares.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !