Comment une application de piratage pour Gmail se retourne contre ses utilisateurs

Au cours des derniers mois, nous avons assisté à l’apparition d’outils de piratage « à monter soi-même » tels que le Créateur de Botnet contrôlé via Twitter ou l’habile cheval de Troie iStealer recueillant des mots de passe.

 

Nous vous présentons aujourd’hui une application Gmail censée permettre de « pirater les comptes d’autres utilisateurs », une offre difficile à refuser, en particulier si l’on est un jaloux maladif ou que l’on souhaite tout contrôler. 

 

L’application que nous allons étudier est un exécutable .NET  (Visual Basic .NET), ayant une ressemblance frappante avec les malwares évoqués précédemment.

 

Une observation plus attentive du code révèle que toutes ces créations ont la même origine, une fuite du code source d’iStealer.  

 

Notons également, parmi les autres ressemblances, la présence d’un programme d’amorçage et d’un fichier stub qui contient en fait la payload.

 

Lorsque les utilisateurs ouvrent l’utilitaire, on leur demande d’indiquer leur adresse e-mail et le mot de passe associé, qui sont supposés servir à leur envoyer les mots de passe des victimes.

 

Une fois le processus terminé, un clic sur le bouton « Build » crée un fichier exécutable qui doit être transmis à la victime. Ce binaire personnalisé s’avère être le fichier stub.exe avec les identifiants saisis enregistrés dans l’overlay du nouveau fichier. 

 

 

L’application Gmail Hacker Builder

 

 

 

 

L’« outil de pirage » personnalisé

 

L’outil de piratage personnalisé est en fait un outil de phishing destiné à tromper les utilisateurs souhaitant connaître  les mots de passe des comptes Gmail de leurs amis, et qui les conduit à dévoiler les leurs.  

 

Une fois exécutée, l’application envoie les données saisies dans les champs entourés à l’adresse spécifiée dans l’application Gmail Hacker Builder. Puisque l’application ne peut en fait rien pirater, elle se ferme avec un message d’erreur imprécis : 

 

 

 

Ce type d’ « outils de piratage » pré-conçus sont placés sur des sites de partage de fichiers et des portails de torrents avec l’espoir que des victimes imprudentes les choisiront et essaieront de les utiliser contre leurs amis.

 

La publicité de ces outils est faite dans des vidéos de piratage publiées sur des célèbres services de partage de vidéos, avec des liens permettant de télécharger le binaire.

 

BitDefender détecte la menace sous le nom de Trojan.Generic.3102024 et bloque le fichier exécutable avant qu’il ne demande aux utilisateurs d’indiquer leurs identifiants.

 

Afin de profiter d’Internet en toute sécurité, n’oubliez pas ces quelques règles : 

 

 

Note : Tous les noms de marques ou de produits mentionnés ici appartiennent à leurs propriétaires respectifs.