Piratage : certains fichiers Torrent cachent de bien mauvaises surprises

On ne sait jamais ce qui se trouve vraiment dans un fichier téléchargé. Un exemple typique de torrent vérolé a récemment été analysé par des chercheurs en sécurité.

Les sites de téléchargement illégal sont bourrés de logiciels malveillants et ceux qui s’adonnent à cette pratique prennent un gros risque. Ce n’est pas nouveau. Mais un spécimen de malware plutôt méchant a récemment été découvert et il vaut la peine qu’on s’y attarde. Ainsi, il y a quelques jours, le chercheur en sécurité 0xffff0800 analyse un fichier torrent téléchargé sur The Pirate Bay. Il s’agissait, en occurrence, de « The Girl in the Spiders Web », le dernier volet de la saga Millenium.

Le fichier, largement partagé sur la plate-forme pirate, est en fait un raccourci Windows (.LNK) qui, une fois que l’on clique dessus, exécute un script Powershell. Une technique d’infection très utilisée par le groupe de pirates Cozy Bear, c’est pourquoi ce nom apparaît dans l’étiquette donnée par certains moteurs antivirus.

Evidemment, il ne s’agit pas ici de l’œuvre de Cozy Bear, une émanation du service secret russe FSB qui réalise des cyberattaques plutôt de manière discrète et ciblée. Comme le souligne le chercheur Nick Carr, cette technique d’infection a tout simplement été reprise par d’autres pirates et se retrouve maintenant un peu partout.

Bleeping Computer a poussé l’analyse de ce malware un peu plus loin et découvert tout un tas de fonctionnalités bien embêtantes. Tout d’abord, il va prendre le contrôle du navigateur de la victime par le biais d’extensions vérolées qui seront installées à l’occasion.

Ces extensions permettent ensuite de falsifier les pages web visitées par l’utilisateur. Ainsi, le malware va injecter des publicités dans la page principale du moteur de moteur de recherche Google. Il va également modifier les résultats de recherche de Google afin de faire la promotion de certains produits. Ainsi, une recherche sur le mot-clé « spyware » a favorisé des pages visiblement créées à la gloire de la solution de sécurité « TotalAV ».

Sur Wikipedia, le malware va insérer un appel aux dons en haut de la page. Le message ressemble à ceux que l’on a l’habitude de voir, à ceci près qu’il propose une adresse bitcoin pour collecter l’argent. « Nous acceptons désormais les cryptomonnaies. Merci d’envoyer votre don à... », peut-on lire dans le faux message.

Bleeping Computer

Enfin, si la victime surfe sur des sites qui proposent des paiements ou des dons en bitcoin ou en ethereum, le malware va systématiquement remplacer les adresses de porte-monnaie par d’autres contrôlées par le pirate. Une arnaque pas facile à détecter, car les adresses bitcoin ou ethereum sont des suites de caractères aléatoires. Il n’est donc pas aisé de les différencier.

Se protéger contre ces malwares n’est pas évident. Ils sont sans cesse renouvelés et pas toujours très bien détectés par les antivirus. Ainsi, dans le cas présent, le fichier torrent vérolé n’a été correctement analysé que par 7 moteurs antivirus sur 54. La meilleure manière pour être à l’abri, c’est encore ne pas utiliser ce type de plate-forme de téléchargement.