Des entreprises expertes dans la sécurité informatique, Sekoia, Bleeping Computer et Flashpoint, ont découvert un malware dans les logiciels proposés par un site de téléchargement illicite. Elles ont publié des rapports pointant le même malware, mais Sekoia est allé plus loin. L’entité donne chaque détail sur ce programme malveillant, de son modus operandi à ses finalités.
Dès l’installation du logiciel corrompu, le virus informatique infecte la machine : ordinateur ou smartphone. Ce qui a permis à ce nouveau malware de sévir, c’est le téléchargement de logiciesl piratés ou craqués fréquemment utilisés en ligne. En effet, du particulier curieux aux développeurs freelance , le téléchargement des applications crackées est répandu.
Comme la plupart des virus en ligne, celui détecté par Sekoia et Bleeping Computer provient d’applications crackées . Certaines plateformes sont payées pour proposer le téléchargement de parasites informatiques via de fausses publicités ou des logiciels piratés . Dans cette catégorie, l’on retrouve également les sites de streaming non conformes avec la loi, qui sont de réels dangers .
Le distributeur en question est PrivateLoader, un vendeur de logiciels modifiés, en ligne. Le crack téléchargé intègre dans son code un programme nuisant à la sécurité des données présentes sur le terminal.
Une entreprise experte dans l’analyse informatique alarme de l’activité continue de ce distributeur. De plus, celui-ci est mis à disposition des utilisateurs avec plusieurs fonctionnalités qui ont été ajoutées.
Dans son article à ce sujet, Sekoia insiste sur la progression du distributeur PrivateLoader :
Les analystes de SEKOIA.IO comprennent que la menace est que PrivateLoader est toujours actif et est livré avec un ensemble de nouvelles fonctionnalités.
D’ailleurs, Sekoia dénonce PrivateLoader d’œuvrer dans le but de propager ce virus par le biais de sites de piratages suspects. En somme,
L’entreprise appelle les utilisateurs à rester vigilants par rapport aux sources de téléchargement qui ne sont pas fiables.
Le malware présent sur les faux sites de téléchargement de logiciel est nommé RisePro. Infectant différents programmes d’un logiciel piraté, il s’attaque aux smartphones comme aux ordinateurs . Son mode opératoire est de scruter chaque source d’information du terminal.
Selon Sekoia, le procédé suivi par ce programme malveillant est de chercher des identifiants :
Le voleur cible les cookies, les mots de passe enregistrés, les cartes de crédit enregistrées et les portefeuilles cryptographiques, ainsi que les logiciels installés pour les informations d’identification.
L’entreprise soupçonne le malware de vendre les informations amassées en Russie à des sites provenant du darknet .
Pour Sekoia, la technique de stockage des informations soutirées est une compilation de ces dernières. Les informations subtilisées sont :
[…] compressées dans un fichier ZIP, exfiltré lors du message HTTP tardif.
En outre, les données tirées de cryptomonnaies ou d’applications qui permettent l’identification de l’utilisateur sont envoyées vers des sites malveillants.