Les torrents sont téléchargés par des millions d’utilisateurs à travers le monde chaque jour, mais pour le plus grand malheur des utilisateurs, ce type de fichier cache parfois des malwares. Il y a quelques jours, le chercheur en sécurité 0xffff0800 a notamment trouvé un malware assez méchant en téléchargeant le film « The Girl in the Spiders Web », le dernier volet de la saga Millenium sur The Pirate Bay.
Selon les rapports du chercheur en sécurité, le malware en question serait capable de déclencher une série d’activités malveillantes sur l’ordinateur de l’utilisateur.
Le téléchargement des torrents n’est jamais sans risques. De plus, ce type de malware n’est pas toujours détecté par les antivirus. Dans ce cas précis, le malware n’a été trouvé que par 7 logiciels antivirus sur 54.
Un malware trouvé par 0xffff0800
C’est en téléchargeant le film « The Girl in the Spiders Web » que le chercheur en sécurité 0xffff0800 a eu une mauvaise surprise.
Au lieu d’un fichier vidéo, il a plutôt trouvé un raccourci (.LNK) qui exécutait un script Powershell. Cette technique d’infection est généralement utilisée par Cozy Bear, un groupe de pirates avancé découvert en 2015.
Bien que ce dernier soit toujours actif en ce moment, il semblerait qu’il ne s’agisse pas ici de son œuvre. D’après Nick Carr, membre de l’équipe des pratiques avancées de FireEye, les fichiers de ce genre contenant des malwares ne sont pas rares sur les contenus piratés.
Il a ajouté que cette pratique s’est généralisée depuis qu’un ingénieur en informatique nommé Felix avait expliqué dans un article de blog datant du mois d’avril 2017 comment piéger un fichier de raccourci pour qu’il laisse tomber une charge utile.
Le fichier déclenche une série d’activités malveillantes
En analysant le fichier téléchargé en profondeur, Lawrence Abrams de Bleeping Computer a découvert un lot de fonctionnalités malveillantes qu’il déclenche.
- Il prend le contrôle du navigateur web via des extensions indésirables
- Il introduit des publicités sur la page principale du moteur de recherche Google
- Il modifie les résultats de recherche de Google en vue de faire la promotion de certains produits. En insérant le mot-clé « spyware », le moteur favorise notamment les résultats liés à la solution de sécurité « TotalAV »
- Il introduit un appel aux dons en haut de la page sur Wikipédia. Le message indique que l’argent peut être collecté à une adresse bitcoin.
- Il remplace les adresses de porte-monnaie par d’autres qui sont contrôlées par le pirate lorsque l’utilisateur entre dans des sites qui proposent des paiements en bitcoin ou en ethereum