ESET sonne l’alarme: un malware dissimulé touche 500.000 utilisateurs
Publié le 26/07/2017 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 26 juillet 2017 - ESET, leader en sécurité informatique, a étudié et identifié une menace complexe créée par une nouvelle souche de malware qui a touché jusqu’à présent un demi-million d’utilisateurs.

Dans son dernier livre blanc ESET analyse, sous la dénomination Stantinko, ce malware très discret qui pousse ses victimes à télécharger un logiciel pirate à partir des faux sites torrents et qui, au cours des cinq dernières années, s’est continuellement modifié pour éviter d’être démasqué. Ciblant principalement des utilisateurs de langue russe, Stantinko est un réseau de bots qui se finance en installant des extensions aux navigateurs, qui injectent de fausses publicités lorsque l’on surfe sur le web. Une fois installé sur la machine, il peut effectuer des recherches massives sur Google de façon anonyme et créer de faux comptes sur Facebook capables de « liker » des illustrations, des pages et des amis.

Une ‘porte dérobée modulaire’

La capacité de Stantinko à éviter la détection antivirus est due au fait qu’il se cache dans du code qui semble tout à fait légitime. Utilisant des techniques avancées, le code malveillant est caché ou chiffré dans un fichier ou le registre Windows. Il est alors décrypté en utilisant une clef générée lors de l’infection initiale. Son comportement malveillant ne peut être détecté avant qu’il ne reçoive de nouvelles composantes de son serveur de commande et de contrôle, ce qui le rend difficile à découvrir.

Une fois qu'une machine est infectée, il installe deux services Windows nuisibles qui se lancent chaque fois que le système démarre. "Il est difficile de s’en débarrasser une fois que vous l'avez, car chaque service a la possibilité de réinstaller l'autre au cas où l'un d'entre eux serait supprimé du système. Pour éliminer complètement le problème, les utilisateurs doivent supprimer les deux services de leurs machines en même temps », explique Frédéric Vachon, chercheur en logiciels malveillants chez ESET.

Une fois en place sur un appareil, Stantinko installe deux plugins dans le navigateur web – The Safe Surfing et Teddy Protection – tous deux disponibles sur Google Chrome Web Store. « Les deux plugins étaient toujours disponibles lors de notre analyse, » explique Marc-Etienne Léveillé, chercheur malware senior chez ESET. « A première vue ils ont l’air d’extensions tout à fait légitimes au navigateur et disposent même d’un site web. Cependant, installées par Stantinko, ces extensions sont configurées de manière différente et contiennent des règles pour effectuer des fraudes par click et des injections publicitaires. »

Lorsque le malware s’est infiltré, les opérateurs Stantinko peuvent utiliser des plugins flexibles pour faire tout ce qu’ils veulent avec le système infecté. Cela comporte des recherches anonymes massives pour trouver des sites Joomla et Wordpress, des attaques en force brute sur ces sites, trouver et voler des données et créer de faux comptes sur Facebook.

Comment les pirates Stantinko se font-ils de l’argent ?

Stantinko peut être très lucratif car la fraude par click est une source majeure de revenus pour les pirates. Aux USA, une recherche opérée par White Ops et l’Association of National Advertisers estime que la fraude par click coutera aux entreprises 6,5 milliards de dollars rien que cette année.

Des détails concernant les sites victimes des attaques en force brute peuvent également être vendus sur le marché souterrain après que ces sites aient été infectés par Stantinko, qui devine les mots de passe en utilisant des milliers d’identités différentes.

Bien que les chercheurs d’ESET n’aient pas été témoins de ces activités malveillantes sur le réseau social, les opérateurs Stantinko disposent d’un outil qui leur permet de frauder sur Facebook, en vendant des « likes » afin d’attirer, de manière illégale, l’attention des consommateurs sans méfiance.

Les plugins The Safe Surfing et Teddy Protection sont capables d’injecter des publicités ou de rediriger les utilisateurs. « Ceci permet aux opérateurs Stantinko d’être payés pour le trafic qu’ils procurent à ces publicités. Nous avons même trouvé que des utilisateurs visitent directement le site des annonceurs par le biais de publicités appartenant à Stantinko, » conclut Matthieu Faou, chercheur malware chez ESET.

Pour en savoir plus sur Stantinko, visitez welivesecurity.com.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?