Des spammeurs utilisent la crise du coronavirus pour déployer un keylogger

 
Des pirates essaient d’instrumentaliser l’épidémie de coronavirus COVID-2019, en incitant les gens à télécharger des logiciels malveillants afin de voler des informations précieuses sur les ordinateurs des victimes.
 
Les logiciels malveillants déployés via des e-mails et des fichiers corrompus n’ont rien de nouveau. Pourtant, les pirates ont besoin d’une accroche pour attirer l’attention des victimes potentielles, et quelle meilleure façon que de profiter de la pandémie actuelle pour convaincre les utilisateurs d’ouvrir un fichier infecté ?
 
Des chercheurs en sécurité ont observé la diffusion d’un fichier nommé «CoronaVirusSafetyMeasures_pdf», sans doute sous la forme d’une pièce jointe à un mail, qui est en fait un cheval de Troie (Remote Access Trojan) qui agit comme un enregistreur de frappe (keylogger), mémorisant toutes les pressions de touches de votre clavier.
 
Comme cela se produit habituellement avec ce type de malware, la pièce jointe n’est qu’une partie de la mécanique savamment mise en place, les cybercriminels ne voulant pas déclencher l’alerte des terminaux de protection. Dans ce cas particulier, il s’agit en fait d’un injecteur (dropper), ce qui signifie que le fichier infecté n’est qu’un premier pas vers le but final.
 
L’ouverture des pièces jointes lance le téléchargement d’un fichier binaire chiffré, qui télécharge deux fichiers, “filename1.vbs” et “filename1.exe”. Il écrit dans le registre Windows pour s’assurer qu’il survit à un redémarrage du système. À ce stade, il agit probablement comme un enregistreur de frappe, enregistrant les touches des utilisateurs et les stockant dans un fichier. Les données collectées par le malware sont envoyées à un serveur de commande et de contrôle (C&C), à l’adresse 66.154.98.108, un hébergeur américain qui existe depuis 2012.
 
L’exploitation des sujets d’actualité – comme la peur du coronavirus – est une méthode courante de propagation de logiciels malveillants, ce qui rend les gens plus susceptibles d’ouvrir un e-mail ou une pièce jointe provenant de sources inconnues. L’utilisation d’une solution de sécurité est recommandée, mais il est également conseillé de ne pas ouvrir les e-mails provenant d’expéditeurs inconnus, surtout si cela semble avoir quelque chose à voir avec l’épidémie actuelle.