23/11/2024

Actu CybersécuritéLogiciel - OS

Empoisonnement de la recherche Google : ce malware profite de la popularité de CCleaner

Méfiez-vous si vous cherchez à vous procurer CCleaner Pro de manière illégale : de nombreux sites gérés par des cybercriminels sont actuellement propulsés dans le top des résultats de Google. Faisons le point.

Les chercheurs en sécurité d'Avast ont fait la découverte de cette nouvelle campagne de distribution d'un logiciel malveillant qu'ils ont baptisé "FakeCrack" et qui profite de la popularité de CCleaner Pro. D'après les données de télémétrie collectée par Avast, il y a en moyenne 10 000 tentatives d'infection par jour, ce qui montre que cette campagne est très active. La majorité des victimes sont situées en France, au Brésil, en Indonésie et en Inde.

Pour attirer les utilisateurs vers leurs sites qui distribuent le logiciel malveillant, les cybercriminels utilisent des techniques de SEO (référencement naturel) de type "Black Hat" dans le but de placer leurs sites de distribution de logiciels malveillants en bonne position dans les résultats de recherche de Google. En étant bien positionnés, ils parviennent à récupérer un grand nombre de visiteurs sur ces différents sites.

Ainsi, lorsqu'une personne recherche "ccleaner pro crack" dans Google afin d'obtenir une version piratée du célèbre logiciel de nettoyage CCleaner Pro, les utilisateurs tombent sur différents sites exotiques, dont les sites mis en avant par les pirates informatiques. Les sites en question servent de relais pour renvoyer l'utilisateur vers une page de téléchargement où il pourra récupérer une archive ZIP, par l'intermédiaire d'un service d'hébergement de fichiers légitimes tel que MediaFire. Afin d'éviter les analyses antivirales, le ZIP est protégé par un mot de passe faible comme "1234".

Accéder à un site que l'on ne connaît pas forcément et télécharger une archive ZIP, c'est un processus classique lorsque l'on cherche à télécharger un logiciel cracké, sauf que l'on ne gagne pas à tous les coups ! En l'occurrence, dans ce cas présent, au lieu de récupérer une version piratée et fonctionnelle de CCleaner Pro, l'utilisateur récupère un beau logiciel malveillant. Ce malware est situé dans l'archive ZIP et il peut s'appeler "setup.exe" ou "cracksetup.exe", mais Avast a déjà repéré 8 noms différents pour cet exécutable malveillant.

Que fait le malware sur la machine infectée ?

Une fois que la machine est infectée par ce logiciel malveillant, il va partir à la chasse aux informations sur votre machine dans le but de récupérer des identifiants et mots de passe enregistrés dans les navigateurs, des numéros de cartes bancaires ou encore des informations sur votre portefeuille de cryptomonnaie.

Il est également capable de surveiller le presse-papier de votre système afin de réorienter les paiements en cryptomonnaie vers les portefeuilles des cybercriminels. Cette fonction prend en charge les adresses Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, et  Bitcoin Cash. Enfin, via une attaque de type man-in-the-middle (connexions envoyées vers un proxy malveillant grâce à un fichier proxy PAC), les pirates sont en mesure de voler vos identifiants de connexion sur une plateforme de cryptomonnaie.

En résumé, il vaut mieux payer la licence CCleaner Pro que de se faire piéger par cette souche malveillante ! Dans tous les cas, méfiances et prévenez vos proches un peu bidouilleurs... 😉

Une campagne qui ne concerne pas seulement CCleaner

Cette campagne ne concerne pas uniquement CCleaner Pro, mais aussi d'autres logiciels comme Movavi Video Editor ainsi que Microsoft Office. Avast m'a communiqué des informations supplémentaires à ce sujet : "Pour cette campagne, les cybercriminels abusent des noms de marque de logiciels populaires, en faisant la promotion de versions illégales et piratées de ces derniers pour inciter les utilisateurs à télécharger le malware. Les noms de marque utilisés à tort pour cette campagne sont par exemple "CCleaner Pro Windows", mais aussi "Microsoft Office", "Movavi Video Editor 22.2.1 Crack" "IDM Download Free Full Version With Serial Key" "Movavi Video Editor 22.2.1 Crack" "Crack Office 2016 Full Crack + Product Key (Activator) 2022". Nous recommandons aux utilisateurs de toujours s'en tenir aux versions officielles des logiciels plutôt qu'aux versions piratées."

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.