Le téléchargement de nouvelles applications sur votre ordinateur est généralement un processus simple et direct, mais vous devez maintenant être très prudent lorsque vous le faites car les pirates ont commencé usurper l’identité d’applications populaires pour propager des logiciels malveillants.
Selon un nouveau article de blog (s’ouvre dans un nouvel onglet) de la firme de cybersécurité Cyble, les pirates ont commencé à utiliser des pages de phishing conçues pour se faire passer pour un certain nombre d’applications populaires en ligne. Alors qu’un utilisateur peut penser qu’il télécharge une application largement utilisée, il installe en fait un logiciel malveillant sur son ordinateur.
Le 16 janvier, les chercheurs de l’entreprise ont découvert un site de phishing se faisant passer pour un populaire application de chat. Dès le lendemain, le même site de phishing avait été transformé pour imiter le site de l’outil de bureau à distance TeamViewer. Cela montre que les pirates à l’origine de la campagne modifient et personnalisent activement leurs sites de phishing pour cibler un certain nombre d’applications populaires.
Une fois qu’un utilisateur clique sur le bouton de téléchargement sur ces sites de phishing, des logiciels malveillants nommés « messenger.exe » et « teamviewer.exe » sont téléchargés sur son PC. Cependant, les pirates à l’origine de cette campagne utilisent une astuce astucieuse pour contourner le meilleur logiciel antivirus: ils remplissent ces téléchargements avec des zéros supplémentaires pour augmenter la taille de leur fichier. Cela aide leurs exécutables malveillants à contourner les contrôles de sécurité, car les logiciels antivirus plus volumineux peuvent être plus difficiles à détecter.
Logiciel malveillant Aurora
Dans ce cas, le logiciel malveillant distribué est le voleur d’informations Aurora qui, comme son nom l’indique, peut collecter toutes sortes de données sensibles à partir des navigateurs, des extensions de navigateur, portefeuilles cryptographiques et les répertoires d’utilisateurs sur une machine infectée. Étonnamment, le logiciel malveillant peut également extraire des données de Télégramme si un utilisateur a installé l’application de bureau.
Une fois que toutes ces informations sensibles – y compris les mots de passe – sont collectées par Aurora, elles sont enregistrées au format JSON, compressées à l’aide de GZIP et converties au format d’encodage Base64 avant d’être envoyées à un serveur Command-and-Control (C&C) contrôlé par le hackers derrière cette campagne.
Avec les cookies, l’historique de navigation, les données de connexion et les données Web d’un utilisateur en main, un attaquant peut commettre une fraude, vider les comptes bancaires d’un utilisateur ou même s’engager vol d’identité. Bien que les conséquences du téléchargement d’une fausse application qui est en fait un logiciel malveillant puissent ne pas être apparentes au début, cela pourrait aggraver les choses car ceux qui ont été infectés pourraient continuer normalement. Pendant tout ce temps, les pirates continueront de collecter des données sensibles et personnelles à partir de leur PC infecté.
Comment rester à l’abri des logiciels malveillants cachés dans les téléchargements d’applications
Les utilisateurs peu méfiants ont tendance à se retrouver sur ces sites de phishing en cliquant sur fausses publicités qui ont commencé à apparaître fréquemment dans les moteurs de recherche. Ainsi, l’installation de l’un des meilleurs bloqueurs de publicités peut vous empêcher de les voir, ce qui signifie que vous serez beaucoup moins susceptible de vous retrouver sur l’une de ces pages de phishing en premier lieu. En fait, même le FBI recommande désormais d’utiliser un bloqueur de publicités.
Dans le même temps, vous devez également être extrêmement prudent lors du téléchargement de nouveaux logiciels sur votre smartphone et votre PC. Vous devez toujours vérifier que vous êtes sur le site Web officiel d’une entreprise avant de cliquer sur Télécharger. Faire défiler plus bas lorsque vous regardez les résultats de recherche est un bon moyen de vous assurer que vous vous retrouvez sur le bon site car les pirates se sont fait passer pour GIMP, Bloc-notes++ et d’autres applications populaires dans le passé et continueront probablement de le faire.
Bien que vous deviez certainement utiliser un logiciel antivirus sur votre PC et l’un des meilleures applications antivirus Android sur votre smartphone Android, vous pouvez également envisager de passer à l’un des meilleures suites de sécurité Internet. Ces forfaits premium offrent non seulement une protection antivirus, mais ils incluent souvent un gestionnaire de mots de passeun VPN et un pare-feu pour mieux vous protéger contre toutes sortes de menaces en ligne.
Les téléchargements de fausses applications ont été assez réussis pour les pirates et autres cybercriminels, c’est pourquoi nous continuerons probablement à les voir utiliser cette tactique pour infecter les utilisateurs sans méfiance avec des logiciels malveillants à l’avenir.