Les PC Windows sont actuellement attaqués par un nouveau Logiciels malveillants basés sur Python qui n’a pas été détecté auparavant, ce qui peut voler des mots de passe et d’autres données sensibles des navigateurs de la victime.
Selon la société d’analyse des menaces Sécuronix (s’ouvre dans un nouvel onglet)ce malware est un cheval de Troie d’accès à distance (RAT) surnommé PY#RATION. Il se propage actuellement par le biais d’une campagne de phishing qui utilise des fichiers ZIP protégés par mot de passe joints à des e-mails contenant deux fichiers .lnk déguisés en images représentant le recto et le verso d’un permis de conduire.
Ce qui distingue PY#RATION des autres Souches de logiciels malveillants Windows est le fait qu’il utilise le protocole WebSocket pour communiquer avec un serveur de commande et de contrôle (C&C) où les données volées aux PC infectés sont envoyées selon BipOrdinateur (s’ouvre dans un nouvel onglet).
Bien que de nouvelles recherches sur ce malware viennent d’être révélées, les chercheurs de Securonix notent qu’il est actuellement utilisé dans des attaques et qu’ils ont observé plusieurs versions de PY#RATION depuis son lancement en août de l’année dernière.
Se faire passer pour Cortana
Une fois lancés, les deux raccourcis contenus dans les fichiers ZIP exécutent un code malveillant en arrière-plan pendant que des utilisateurs sans méfiance regardent les images du permis de conduire. Ce code est utilisé pour contacter le serveur C&C contrôlé par l’attaquant et télécharger deux fichiers texte (.txt) qui sont ensuite renommés en fichiers BAT (.bat).
Cependant, le logiciel malveillant crée également des répertoires « Cortana » et « Cortana/Setup » dans le dossier temporaire de la victime. D’autres fichiers exécutables sont ensuite téléchargés, décompressés et exécutés à partir de cet emplacement.
PY#RATION est capable d’établir une persistance ou une prise de pied sur un PC Windows infecté en ajoutant un fichier batch appelé « CortanaAssist.bat » dans le répertoire de démarrage d’un utilisateur. Cela rend le logiciel malveillant plus difficile à détecter car les utilisateurs infectés pourraient penser qu’il s’agit d’un fichier système Windows légitime au lieu d’un virus caché à la vue de tous.
Bien que l’assistant virtuel de Microsoft ne soit plus aussi populaire qu’autrefois, il est toujours inclus dans Windows 10 et Windows 11. Cependant, dans la dernière version de Windows, Cortana n’est plus épinglée à la barre des tâches. Heureusement, vous pouvez également désinstaller Cortana si vous pensez que l’assistant virtuel de Microsoft est trop envahissant.
Voler les données du navigateur et du presse-papiers
La dernière version de PY#RATION (1.6.0) contient un certain nombre de fonctionnalités permettant aux pirates de voler plus facilement les données des PC infectés.
Par exemple, le logiciel malveillant peut transférer des fichiers vers et depuis un serveur C&C, enregistrer les frappes au clavier, détecter si une machine infectée exécute un logiciel antivirus, voler les données du presse-papiers et extraire à la fois les mots de passe et les cookies des navigateurs Web. Toutes ces données volées peuvent ensuite être utilisées pour commettre une fraude ou même une usurpation d’identité.
En plus de voler des données de Google Chrome, Brave, Opera et Microsoft Edge, PY#RATION peut également voler des informations des meilleurs portefeuilles de crypto-monnaie ainsi que des données utilisateur et système d’un PC infecté.
Comment rester à l’abri des logiciels malveillants Windows
Securonix souligne que puisque l’anglais est la langue principale utilisée dans PY#RATION et que les images leurres utilisées dans cette campagne sont celles d’un permis de conduire britannique, le logiciel malveillant est probablement utilisé pour cibler les utilisateurs de Windows au Royaume-Uni ou en Amérique du Nord.
Pour rester à l’abri de ce logiciel malveillant et d’autres logiciels malveillants, vous devez toujours éviter d’ouvrir pièces jointes aux e-mails provenant d’expéditeurs inconnus. Bien que les fichiers à l’intérieur puissent sembler innocents au début, il pourrait y avoir quelque chose de malveillant en arrière-plan, comme c’est le cas ici.
L’installation d’un des meilleur logiciel antivirus peuvent aider à empêcher les logiciels malveillants d’infecter votre PC et bon nombre de ces programmes offrent également des protections supplémentaires contre le phishing. En ce qui concerne la sécurité de vos mots de passe et autres données sensibles, vous devez utiliser l’un des meilleurs gestionnaires de mots de passe par opposition à stocker vos mots de passe dans votre navigateur. De cette façon, il sera plus difficile pour les pirates de mettre la main dessus même s’ils parviennent à infecter votre ordinateur avec des logiciels malveillants.
Maintenant que Securonix a mis en lumière PY#RATION, nous en saurons probablement encore plus sur ce nouveau malware Windows, y compris des détails sur les pirates qui l’utilisent dans leurs attaques.