Un faux correctif Windows® réserve deux charmantes surprises

L’enfer serait pavé de bonnes intentions. C’est vrai, mais la situation que nous présentons ici  nécessite une légère reformulation de ce proverbe : l’enfer est en fait pavé de bonnes intentions apparentes et du manque d’attention des utilisateurs. Voici l’histoire de correctifs propulsés sur le devant de la scène. 

 

Les conseils concernant les mises à jour et les correctifs sont, d’une certaine façon, ceux qui sont le moins mis en avant dans les guides de sécurité en ligne : ils ne se trouvent pas en haut de la liste et leurs chances d’obtenir un premier rôle sont plutôt minces.

 

Ils sont assurément (et c’est compréhensible) occultés par les conseils sur les sites bancaires, par exemple, puisqu’ils ne portent pas sur leur front l’inscription « perte d’argent ». Un peu comme les clauses imprimées en petits caractères qu’on ne lit jamais, à tort, et qui nous permettraient d’éviter bien des surprises et en particulier les mauvaises. 

 

Il est possible d’activer l’option de téléchargement automatique des mises à jour dans le logiciel utilisé ou, à défaut, de télécharger les mises à jour et correctifs sur le site web officiel de l’éditeur de cette application.

 

Dans ce cas, étant donné qu’il s’agit d’un correctif pour le système d’exploitation Windows®, les utilisateurs n’auront probablement qu’à cliquer sur l’icône de notification de mise à jour Windows® pour permettre leur installation automatique.

 

En supposant que l’option de mise à jour automatique des utilisateurs soit désactivée, c’est sur le site Internet officiel de Microsoft® que ceux-ci doivent effectuer leurs téléchargements. En quoi est-ce un problème ?

 

Nous savons que les mises à jour et les correctifs ne sont pas distribués dans des e-mails contenant des liens de téléchargement, contrairement à ce que peut laisser croire l’exemple de l’e-mail ci-dessous. 

 

Le texte du message de spam utilisé ici a été rédigé dans le respect des normes d’ingénierie sociale. D’abord, il faut mentionner un expéditeur digne de confiance : dans ce cas, il s’agit de l’ « équipe de sécurité de Microsoft ».

 

Ensuite, il faut générer un sentiment de panique. L’expression  « une nouvelle faille zero-day qui expose les utilisateurs de Windows à des écrans bleus de la mort et à des attaques par exécution de code » remplit cette fonction.

 

Puis, rassurer les pauvres mortels en leur disant qu’ils seront malgré tout sains et saufs (c’est là que les 34 failles de sécurité interviennent)  et leur proposer non pas un, mais deux liens de téléchargement du correctif. Ajoutez à cela l’impression de vraisemblance apportée par la vulnérabilité reconnue officiellement et vous tenez la formule gagnante. 

 

 

Fig 1. L’e-mail de spam présentant le correctif et contenant deux liens malveillants

 

Si vous essayez de télécharger directement le correctif en cliquant sur le lien win.exe, vous obtenez un charmant robot spammeur, identifié par BitDefender sous le nom de « Trojan.SpamBot.CAL ». Une fois installée, cette petite merveille fournit un contrôle à distance de l’ordinateur de la victime, qui devient une véritable machine à spam diffusant des e-mails non sollicités via le serveur SMTP de Yahoo!®.

 

Si vous avez besoin d’utiliser le second lien pour obtenir le correctif désiré, vous obtenez un téléchargeur, nommé « Trojan.Downloader.Agent.ABFG » par BitDefender,  qui essaiera d’installer toutes sortes de logiciels malveillants. 

 

En attendant la prochaine menace informatique, surfez avec prudence ! 

 

 

Article réalisé grâce aux informations techniques fournies par Sabina Datcu et Iulian Muntean, Chercheurs Anti-Virus des Laboratoires BitDefender.

 

Tous les noms de produits et  d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.