Une fausse mise à jour Windows® sème la terreur !

Ces derniers jours, nous avons constaté qu’une campagne de spams sévissait actuellement sur la toile : elle contrefait une annonce de mise à jour Windows®. S’inspirant descampagnes de sensibilisation initiées par les éditeurs d’antivirus, les cyber-escrocs utilisent le prétexte d’une mise à jour Windows®pour envoyer des emails truffés de malwares aux utilisateurs du célèbre système d’exploitation.

Alors que la plupart des campagnes de spams bâclent le contenu de l’e-mail avec des textes écrits dans un français approximatif, cette fois les cyber-escrocs ont fait l’effort d’apporter une touche d’authenticité à cette attaque d’ingénierie sociale : elle peut facilement tromper un non-initié :

• la première et la dernière partie du message sont des copiés-collés provenant du site légitime de Microsoft® ;
• l’adresse de l’expéditeur semble crédible ;
• la qualité rédactionnelle est au rendez-vous, contrairement aux vagues de spams générées par des cyberdélinquants qui ne prennent même pas la peine de se plier aux règles grammaticales élémentaires.

Fig 1 : Fausse notification d’un patch de sécurité.

 

Mais si l’on se penche plus attentivement sur la colonne « Quick Details » c’est là que le bât blesse, car son contenu interpellera peu les utilisateurs novices en la matière. Dès lors, c’est sans surprise que la majeure partie des gens tombent dans le panneau et cliquent inexorablement sur le lien qui les infectera – alors qu’ils seront persuadés de télécharger un simple logiciel de mise à jour de leur OS.

Plutôt que d’attacher une pièce jointe malveillante qui peut facilement être détectée par un pare-feu, l’e-mail contient un lien qui mène à un malware une fois que l’on a cliqué dessus. Celui-ci est identifié par BitDefender sous le nom de Trojan.Agent.ARVQ. Il s’agit d’un fichier.rar compressé à l’aide d’UPX qui écrit 3 fichiers (termsrv.dll, java.reg and core.vbs) dans %system32%. Le faux fichier termsrv.dll remplace le l’original dans %system32%, alors que le script contenu dans core.vbs fixe plusieurs clés de registre, tel que celle du fichier java reg. Ces clés de registre et le fichier termsrv.dll patché sont paramétrés pour garantir l’accès à la machine infectée via des connexions parallèles à distance au Bureau, ou des sessions Windows® XP.

Une fois que le bureau est disponible à distance, le cheval de Troie Agent.ARVQ se connecte à un site légitime (mais détourné par les cyber-escrocs pour les besoins de l’opération) où sont récupérées les adresses IP des ordinateurs infectés. Ensuite des identifiants sont générés pour chacune des machines compromises, ces utilisateurs non-autorisés sont ajoutés au groupe des administrateurs. Ainsi les cyber-escrocs peuvent aisément accéder à l’ordinateur compromis.

Perdre le contrôle de son système est dangereux et une telle menace n’est vraiment pas à prendre à la légère. Mais si l’utilisateur suit ces étapes, il devrait être à abri d’attaques d’ingénierie sociale :

Restez vigilants lorsque que vous recevez un spam. La plupart du temps, si un message atterrit directement dans la poubelle de votre boite aux lettres, c’est certainement pour une bonne raison. En effet, souvent, les spams vous exposent à des pièces jointes malveillantes, même lorsqu’elles paraissent inoffensives. jpeg, html ou fichiers pdf peuvent aussi être vecteurs de virus ;

• Installez une solution anti-malware afin qu’elle scanne vos pièces jointes et vos fichiers téléchargés ;
• Si vous préférez vous la couler douce : attendez que Windows® vous propose de mettre à jour votre système. Ainsi vous serez sûr de télécharger un fichier sain émanant d’un site autorisé ;
• Et si vous êtes plus porté sur la technologie et que vous préférez télécharger vous-même les mises à jour de Windows®, vous devriez vérifier la signature numérique du fichier, sceau ultime de la garantie Microsoft®.

Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.