MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Un adware qui infecte votre ordinateur pour afficher des pop-ups est une simple gêne ; mais quand il infecte jusqu’à un réseau sur cinq dans le monde et détient la capacité de faire des dommages bien plus graves à ses victimes, c’est une épidémie qui attend d’arriver.
L’information
La firme de sécurité Check Point (entreprise de marketing numérique basée à Rafotech) a mis en garde contre une nouvelle épidémie massive : 250 millions de PC infectés par un code malveillant Fireball, conçus pour détourner les navigateurs afin de changer le moteur de recherche par défaut. Mais plus inquiétant, Check Point indique que le logiciel malveillant a également la possibilité d’exécuter à distance du code sur la machine de la victime, ou de télécharger de nouveaux fichiers malveillants. C’est un malware potentiellement sérieux, déguisé en quelque chose de plus trivial.
«Un quart de milliard d’ordinateurs pourrait très facilement devenir victime de véritables logiciels malveillants», explique Maya Horowitz, responsable de l’équipe de recherche de Check Point. « Il installe une porte dérobée dans tous ces ordinateurs qui peuvent être très, très facilement exploités entre les mains du peuple chinois derrière cette campagne ».
Le HACK
Check Point a découvert qu’au moins une partie d’un nombre estimé en centaines de millions d’ordinateurs infectés par Fireball avait contracté le logiciel malveillant via un logiciel gratuit «intégré» au code de Rafotech. Les chercheurs pointent vers freeware comme Soso Desktop et FVP Imageviewer, qui ont tous deux été emballés avec l’adware dans certains cas. Mais comme aucune de ces applications gratuites n’est particulièrement populaire ou même reconnaissable aux Américains, Horowitz de Check Point admet que les chercheurs ne savent pas si d’autres techniques courantes, comme le phishing ou les kits d’exploitation, sont également utilisées pour installer le malware. Rafotech n’a pas répondu à la demande de commentaires de WIRED.
Check Point a retracé les infections Fireball à Rafotech en analysant les domaines des serveurs de commande et de contrôle auxquels le malware renvoie. Ils ont également pu vérifier l’enregistrement des domaines utilisés pour héberger les moteurs de recherche très obscurs, qui chargent réellement les résultats des forces de Google et Yahoo-Fireball sur ses victimes.
Rafotech peut monétiser le trafic de ses ordinateurs infectés en prenant une redevance lorsque les machines infectées visitent le site Web de l’un de ses clients, spécule Check Point. Les moteurs de recherche vers lesquels il dirige les navigateurs piratés utilisent des pixels de suivi qui pourraient identifier à nouveau les machines infectées lorsqu’ils se retrouvent sur un site de destination. Mais Check Point dit qu’il ne peut pas être sûr de savoir comment Rafotech profite de l’hébergement des résultats de recherche Google et Yahoo sur des sites obscurs. Ni Google ni Yahoo n’ont répondu immédiatement à une demande de commentaires concernant une éventuelle implication dans le logiciel publicitaire.
Qui est concerné?
Check Point est arrivé à son estimation de 250 millions d’infections en regardant les statistiques de trafic Alexa à ces sites de recherche. Mais la firme de sécurité dit qu’il est possible qu’ils ont manqué certains domaines, et donc sous-comptés. (Rafotech se vante de pouvoir compter sur plus de 300 millions d’utilisateurs sur son site web). Sur la base de l’analyse de son propre réseau de clients, Check Point estime qu’un réseau sur cinq au niveau mondial a au moins une infection. Mais seulement une fraction de ces victimes, environ 5,5 millions de PC, sont aux États-Unis. Les pays comme l’Inde et le Brésil sont les plus touchés, avec près de 25 millions de machines infectées.
Est-il dangereux ?
Adware est une nuisance troublante. Mais Check Point avertit que FireBall ne devrait pas être jugé par ce qu’il fait, mais ce qu’il pourrait faire: Permettre à ses administrateurs de transformer leur public réticent génération de revenus publicitaires dans un botnet, ou de récolter les informations d’identification et d’autres données privées en masse.
Cela signifie que toute personne infectée par le malware – si votre navigateur charge par défaut un de ces moteurs de recherche ombreux obscur, c’est un cadeau – devrait le supprimer en exécutant un scanner antivirus qui inclut le nettoyage des adwares. Sinon, les victimes risquent de ne plus pouvoir se passer de quelques modifications de navigateur spammy, avertit Horowitz de Check Point.
« Quelque chose derrière cela est louche, et les intentions des développeurs ne sont pas seulement de monétiser sur les publicités », dit-elle. « Nous ne connaissons pas leur plan et s’il y en a vraiment un, mais il semble qu’ils veulent avoir la possibilité de passer au niveau supérieur.
