Une nouvelle menace pour les ordinateurs Windows. Le virus, réalisé par le collectif CozyBear, est déguisé en film téléchargeable à partir de Torrent et cause de nombreux dégâts
L'imagination des hackers semble vraiment infinie et, historiquement, l'une des méthodes utilisées par les criminels du web pour infecter nos ordinateurs est aussi de cacher des virus dans les fichiers Torrent de films piratés, téléchargés sur la célèbre plateforme The Pirate Bay (TPB).
Un exemple de cette pratique, récemment découvert puis bloqué avant qu'il ne puisse causer beaucoup de dégâts, démontre la dangerosité de ces virus : dans un fichier Torrent permettant de télécharger le film " Millénium - Ce qui ne tue pas ", on a trouvé un code malveillant qui modifie les pages de résultats des moteurs de recherche Google et Yandex et tente de réaliser une escroquerie en infectant des pages Wikipédia. L'objectif est toujours le même : gagner de l'argent dans le dos des utilisateurs, en utilisant des tactiques sophistiquées et de haut niveau.
Ce virus et cette arnaque ont été conçus par CozyBear, un groupe de hackers russes connu sous plusieurs noms (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear est actif depuis 2008, mais est devenu célèbre en août 2015, lorsqu'il a réussi à pénétrer dans les serveurs de messagerie du Pentagone et à accéder à plus de 2 500 comptes de messagerie du personnel civil et militaire du ministère américain de la défense.
Comment fonctionne le virus Torrent
Le fonctionnement du virus, en quelques mots, est le suivant : à l'intérieur du fichier vidéo du film piraté, un fichier .LNK a été inséré. Cette extension est utilisée pour les raccourcis Windows, c'est-à-dire des raccourcis vers des fichiers originaux, à placer éventuellement sur le bureau pour un accès rapide à des fichiers ou des dossiers situés dans diverses parties du disque dur. Mais lorsque l'utilisateur a cliqué sur le raccourci piraté, l'infection a commencé : une commande PowerShell a été exécutée, qui a elle-même exécuté un script de code malveillant. Dès lors, les recherches Google et Yandex ont été infectées.
Résultats du moteur de recherche piraté
Pour ce faire, le malware a modifié certaines clés du registre Windows afin de désactiver la protection de Windows Defender. Il a également installé une extension dans Firefox appelée "Firefox Protection" et modifié l'extension Chrome appelée "Chrome Media Router". De cette façon, il a désactivé les protections du système d'exploitation et des deux navigateurs les plus utilisés. Dès lors, chaque fois que l'utilisateur ouvrait le navigateur pour surfer sur Internet, le logiciel malveillant se connectait à une base de données et exécutait divers paramètres et codes JavaScript sur diverses pages Web.
Par exemple, si l'utilisateur recherchait " spyware " sur Google, probablement à la recherche du meilleur logiciel antivirus pour se protéger contre les spywares, au lieu des sites de logiciels antivirus qui apparaîtraient normalement en haut de la page de recherche Google, les deux premiers résultats (piratés) pointaient vers des sites Web recommandant un antivirus appelé TotalAV. La même chose s'est produite avec les résultats de Yandex, un moteur de recherche largement utilisé en Russie.
Faux dons à Wikipédia
Mais il y a plus : en plus d'infecter les pages des moteurs de recherche, ce virus contenu dans le film piraté a également infecté les pages de Wikipédia en affichant une bannière en haut indiquant que Wikipédia accepte désormais les dons en crypto-monnaies (ce qui est absolument faux). La bannière fournissait également deux adresses de portefeuilles de crypto-monnaies vers lesquelles les dons pouvaient être envoyés : l'une pour Bitcoin, l'autre pour Ethereum. Des portefeuilles qui appartenaient aux pirates, bien sûr. Une troisième adresse de portefeuille Bitcoin a été trouvée dans les scripts téléchargés par le logiciel malveillant, mais ne semble pas être incluse dans l'arnaque aux dons à Wikipédia.
Les trois portefeuilles font partie d'une autre activité malveillante visant à remplacer les adresses Bitcoin et Ethereum sur les pages Web. Cette tactique ne permet pas de prévenir l'utilisateur de la supercherie, car les portefeuilles sont une longue chaîne de caractères aléatoires, et la plupart des utilisateurs ne peuvent pas faire la différence entre un vrai portefeuille et un portefeuille piraté. Ainsi, chaque fois que l'utilisateur ouvrait une page contenant des chaînes de portefeuilles de cryptocurrency légitimes, le virus remplaçait ces chaînes par celles des portefeuilles des pirates, détournant les paiements et les dons vers le compte des cybercriminels.