Les experts en sécurité mettent en garde contre une nouvelle stratégie de piratage ciblant les pilotes Windows
Comme s'il n'y avait pas déjà assez de menaces sur votre ordinateur Windows, en voici une autre avec laquelle il faut faire attention. Kaspersky rapporte que des dizaines de milliers de PC compromis sont infectés alors que les cybercriminels font la publicité de faux activateurs et de cracks pour attirer les utilisateurs sans méfiance vers des logiciels distincts tels qu'AutoCAD, JetBrains et Foxit PDF Editor.
Le package malveillant nommé SteelFox se propage discrètement depuis février 2023, mais sa distribution a récemment explosé. Le malware est dispersé à l'aide de trackers torrent et de forums, où il est utilisé comme outil pour activer des versions authentiques du logiciel mentionné précédemment.
Les experts de Kaspersky préviennent que le malware imite les crypto-monnaies et vole des informations financières et non financières sensibles sur vos appareils. Lorsque vous installez le faux crack, un pilote vulnérable appelé WinRingO.sys est ajouté qui restaure CVE-2021-41285 et CVE-2020-14979, des vulnérabilités vieilles de quatre et trois ans qui donnent aux pirates un accès complet à votre PC.
Lorsque les pirates accèdent à ces vulnérabilités, ils insèrent XMRig, un programme qui vole des ressources informatiques pour extraire de la cryptomonnaie, une attaque connue sous le nom de cryptojacking . XMRig utilise votre électricité, l'alimentation de votre PC et Internet pour exploiter Monero et d'autres crypto-monnaies, rendant votre PC inutile. Un voleur d'informations est également inséré pour récupérer les données de 13 navigateurs Web, notamment l'historique de navigation, les informations de carte de crédit, les cookies de session, les données réseau et les informations système. Une connexion RDP (Remote Desktop Protocol) est également établie.
Le rapport mentionnait également un message malveillant contenant des instructions complètes sur la manière de lancer illégalement le logiciel. Kaspersky affirme en outre que « la chaîne d’exécution semble légitime jusqu’au moment où les fichiers sont décompressés ». Le logiciel nuisible est inséré dans le processus et ajoute le code machine qui lance Steelfox.
Kaspersky affirme également avoir bloqué 11 000 attaques jusqu'à présent, mais ce nombre pourrait facilement être beaucoup plus élevé. Les utilisateurs concernés se trouvent dans le monde entier, notamment dans des pays comme le Mexique, le Brésil, la Russie, la Chine, les Émirats arabes unis, l'Algérie, l'Égypte, le Vietnam, le Sri Lanka et l'Inde.
Vous pouvez rester en sécurité en téléchargeant uniquement des logiciels provenant de sources légitimes, et disposer d'un logiciel antivirus de premier plan tel que Bitdefender est une excellente idée.