Pirate Matryoshka : nouveau cheval de Troie sur The Pirate Bay

Analysons de près le malware Pirate Matryoshka, et voyons pourquoi même les pirates invétérés ne devraient pas télécharger les logiciels piratés à partir de trackers torrent.

Cette bataille contre les torrents dure depuis si longtemps que n’importe quelle tentative d’avertissement au sujet d’un torrent dangereux éveille forcément les soupçons : « Voici les détenteurs du droit d’auteur et leurs histoires d’horreur ! » Malheureusement, ce ne sont pas que des mensonges.

Voici André. André a voulu télécharger un fichier très important à partir d’un très mauvais tracker torrent. Mais André ne savait pas que lorsqu’il utilise un torrent pour faire quelques économies, d’autres personnes, avec un niveau de responsabilité sociale inférieur, s’en servent pour gagner de l’argent. Ces pirates informatiques pourraient, par exemple, utiliser une méthode que nous avons récemment détectée sur The Pirate Bay : les escrocs ont commencé à faire germer un groupe de copies de logiciels piratés, et ont remplacé les fichiers source originaux par des fichiers malveillants.

Comment le malware torrent qui circule sur The pirate Bay, Pirate Matryoshka, fonctionne-t-il ?

Lorsqu’André a exécuté le fichier discrètement caché par les pirates informatiques, le programme d’installation affichait une fausse fenêtre permettant de s’identifier sur The Pirate Bay. Notre héros a considéré qu’il s’agissait de la fenêtre normale, et a saisi son identifiant et son mot de passe, qui ont immédiatement été envoyés aux créateurs du malware. Le compte d’André est désormais utilisé pour créer de nouveaux téléchargements contrefaits, et c’est pourquoi il est impossible d’identifier un faux fichier en regardant uniquement la date de l’enregistrement du compte.

Le malware Pirate Matryoshka affiche des fenêtres d'hameçonnage pour voler les identifiants et mots de passe des comptes sur The Pirate Bay.

Les fausses fenêtres d’authentification permettent aux escrocs d’accéder aux comptes utilisateur, ensuite utilisés pour créer plus de téléchargements « piégés ».

Ce n’est pourtant pas grâce au détournement de comptes que les escrocs gagnent de l’argent. Les programmes partenaires leur offrent ce privilège puisqu’ils les paient lorsque la victime installe un logiciel en particulier sur son ordinateur. André installe donc l’application dont il a besoin, mais aussi quelques fonctions supplémentaires. En réalité, il installe beaucoup d’éléments en plus.

Même si le logiciel obtenu en prime n’est pas toujours un malware (nous avons estimé que les applications malveillantes ne représentent qu’un cas sur cinq), ce n’est pas pour autant qu’il simplifie la vie de l’utilisateur. À partir de maintenant, André va devoir combattre des légions de programmes d’optimisation qui envahissent son écran de publicités, de barres d’outils de navigateur qui modifie la page d’accueil et ajoute des bannières publicitaires sur chaque site Internet, et même des chevaux de Troie.

Pirate Matryoshka installe un paquet d'applications distrayantes sur l'ordinateur de l'utilisateur, et certaines peuvent être malveillantes.

Un programme partenaire d’installation du logiciel a fait son travail.

Il est vrai qu’André aurait pu s’en sortir s’il avait téléchargé un fichier similaire sur un autre site Internet et l’avait exécuté. Les créateurs des programmes partenaires d’installation de logiciel, laissent le choix à l’utilisateur, bien qu’il s’agisse d’une zone grise légale, puisqu’il peut refuser. Vous devez toutefois creuser un peu plus pour trouver cette option :

Vous voyez cet endroit grisé dans l’angle qui semble être un bouton inactif ? Il cache une porte de sortie qui vous permet de ne pas installer une grande quantité de logiciels supplémentaires.

Dans le cas de l’infection qui circule sur The Pirate Bay et que nous avons baptisée Pirate Matryoshka, il est impossible d’éviter l’installation de ces logiciels supplémentaires à cause de certaines caractéristiques du logiciel. Avant de lancer l’installation, le malware exécute les modules autoclicker qui cochent automatiquement toutes les cases, vous empêchant ainsi de refuser quoi que ce soit.

Conclusion

Ne soyez pas surpris d’avoir un malware si vous téléchargez un fichier à partir de trackers torrent. C’est particulièrement le cas avec les téléchargements de logiciel, puisqu’ils contiennent inévitablement des fichiers exécutables.

Il serait toutefois naïf de penser que vous n’allez jamais subir le même sort qu’André si vous gardez vos distances avec les torrents et les logiciels piratés. Vous pouvez trouver un « programme d’installation partenaire » à peu près partout, et c’est pourquoi vous devez éviter tous les fichiers exécutables téléchargés sur Internet, ou avoir un antivirus fiable prêt à agir. Kaspersky Premium, par exemple, peut détecter et neutraliser tous les composants de Pirate Matryoshka, et d’autres programmes similaires.

Conseils