Vous jouez à pile ou face lorsque vous téléchargez un logiciel piraté : certains ont de la chance, alors que d’autres pas vraiment. L’utilisateur pourrait même perdre plus d’argent que s’il avait payé la licence. Nous avons déjà parlé de différents types de programmes malveillants qui se présentent comme des jeux piratés et se propagent sur les torrents. Nos chercheurs ont récemment publié une nouvelle étude sur le dropper NullMixer, une autre menace répandue que les utilisateurs peuvent obtenir en téléchargeant un logiciel qui n’a pas de licence.
Qu’est-ce qu’un cheval de Troie dropper ? L’exemple de NullMixer
En quelques mots, le cheval de Troie dropper (ou tout simplement dropper) est un outil qui distribue les programmes malveillants. L’objectif principal est d’installer en toute discrétion un autre programme malveillant (ou plusieurs) sur le dispositif de l’utilisateur. Découvrons comment il fonctionne en prenant l’exemple de NullMixer.
Ce dropper est distribué via des sites qui proposent des logiciels piratés et des « cracks » (outils qui déjouent la protection des programmes authentiques) aux utilisateurs. Les développeurs de programmes malveillants utilisent les outils d’optimisation pour les moteurs de recherche (SEO) de façon intelligente. Ainsi, lorsque l’utilisateur recherche « logiciel piraté » ou « keygen » (générateur de clés), les sites malveillants en question apparaissent dans les premiers résultats de la recherche.
Lorsque l’utilisateur essaie de télécharger un logiciel piraté à partir d’un de ces sites, il est redirigé plusieurs fois jusqu’à ce qu’une certaine page s’ouvre. Il voit alors un lien qui ouvre une archive protégée par un mot de passe et des instructions qui lui expliquent comment télécharger et décompresser l’archive.
La bonne nouvelle est qu’il n’y a aucun mécanisme sournois et qu’une simple visite du site ne va pas infecter l’ordinateur de la victime. L’utilisateur doit réaliser toutes les étapes, du moment où il clique sur le lien pour télécharger le programme malveillant à son lancement. Si la victime pense qu’il y a anguille sous roche et arrête tout, l’ordinateur ne souffrira aucun dégât. Les distributeurs de NullMixer cherchent vraiment à créer un faux sentiment de sécurité : beaucoup de gens pensent qu’aucun site dangereux n’apparaît dans les premiers résultats d’une recherche, et cliquent sans hésiter pour finalement installer un cheval de Troie.
Quel programme malveillant installe NullMixer
NullMixer exécute plusieurs programmes malveillants en même temps, et plus de la moitié sont des logiciels de téléchargement malveillants. Ainsi, une fois lancé, le cheval de Troie implante d’autre(s) élément(s) dans le système. Au lieu d’avoir le logiciel souhaité, l’utilisateur obtient toute une collection de programmes malveillants.
Qu’est-ce que l’on trouve en plus des logiciels de téléchargement ? Tout un ensemble de voleurs, c’est-à-dire des programmes qui cherchent à obtenir les identifiants de connexion. Le plus célèbre est RedLine, apparu pour la première fois en 2020, et qui est devenu le « leader du marché ». Il vole les mots de passe, les informations des cartes bancaires, les clés des portefeuilles de cryptomonnaie, les cookies de session (qui permettent à n’importe qui de se connecter aux comptes sans avoir à saisir le mot de passe) et les conversations par messagerie instantanée.
En plus des logiciels de téléchargement et des voleurs, les victimes de NullMixer obtiennent quelques chevaux de Troie bancaires, dont DanaBot. Celui-ci vole les informations du dispositif et peut injecter de faux formulaires sur les pages de boutiques en ligne ou sur les réseaux sociaux pour que les victimes saisissent leurs informations bancaires. Plus important encore, DanaBot peut donner un accès total au dispositif à ses propriétaires pour qu’ils puissent faire ce qu’ils veulent.
Enfin et surtout, l’assortiment NullMixer inclut un logiciel espion complet. Le cheval de Troie PseudoManuscrypt peut voler les données utilisateur (même si elles sont envoyées par VPN), faire des captures d’écran et enregistrer l’audio et la vidéo de l’écran. Tel un véritable espion, il peut aussi brouiller les pistes : PseudoManuscrypt supprime le journal système pour cacher son activité.
Comment ne pas être victime des cybercriminels
Comme nous l’avons dit au début de cet article, vous prenez des risques lorsque vous téléchargez un logiciel piraté. Comme d’habitude, nous vous conseillons d’installer uniquement les programmes dont vous avez la licence et que vous avez téléchargés à partir de sources officielles. Si, pour une quelconque raison, vous ne pouvez pas acheter la licence, vous pouvez rechercher un logiciel similaire gratuit, profiter de la période d’essai ou attendre une promotion. Dans cet article, nous vous expliquons comment économiser lorsque vous achetez des jeux vidéo sans rien faire d’illégal et sans mettre en danger vos économies ou vos comptes.
Afin de vous assurer que votre appareil est parfaitement protégé, nous vous conseillons d’utiliser une solution de sécurité fiable qui maintient les programmes malveillants à distance. Nos produits détectent avec succès NullMixer ainsi que tous ses amis.