Une nouvelle menace plane sur les utilisateurs de Windows, avec des attaques exploitant des activateurs et des cracks frauduleux pour infecter les ordinateurs. Des experts mettent en garde contre un malware nommé SteelFox qui vole des informations sensibles et exploite des vulnérabilités anciennes, rendant les systèmes vulnérables aux cybercriminels.
Comme si votre ordinateur Windows ne faisait pas déjà face à suffisamment de menaces, voici une autre raison de rester vigilant. Kaspersky rapporte que des dizaines de milliers de PC compromis sont infectés alors que des cybercriminels font la publicité de faux activateurs et cracks pour attirer des utilisateurs crédules avec des logiciels distincts tels qu’AutoCAD, JetBrains et Foxit PDF Editor.
Le paquet malveillant nommé SteelFox se propage discrètement depuis février 2023, mais sa distribution a récemment explosé. Le malware est diffusé via des trackers torrent et des forums, où il est proposé comme un outil permettant d’activer des versions authentiques des logiciels mentionnés précédemment.
Les experts de Kaspersky avertissent que le malware imite des cryptomonnaies et vole des informations financières et non financières sensibles sur vos appareils. Lorsque vous installez le faux crack, un pilote vulnérable appelé WinRingO.sys est ajouté, restaurant CVE-2021-41285 et CVE-2020-14979, des vulnérabilités âgées de quatre et trois ans qui donnent aux hackers un accès complet à votre PC.
Lorsque les hackers exploitent ces vulnérabilités, ils insèrent XMRig, un programme qui vole des ressources informatiques pour miner des cryptomonnaies, un type d’attaque connu sous le nom de cryptojacking. XMRig utilise votre électricité, la puissance de votre PC et l’internet pour miner des Moneros et d’autres cryptomonnaies, rendant ainsi votre PC inutilisable. Un voleur d’informations est également inséré pour récupérer les données de 13 navigateurs web, y compris l’historique de navigation, les informations de carte de crédit, les cookies de session, les données réseau et les informations système. Une connexion au protocole de bureau à distance (RDP) est également établie.
Le rapport mentionnait également un post malveillant contenant des instructions complètes sur la manière de lancer illégalement le logiciel. De plus, Kaspersky déclare que « la chaîne d’exécution semble légitime jusqu’à moment où les fichiers sont décompressés. » Le logiciel nuisible est inséré dans le processus et ajoute le code machine qui lance SteelFox.
Kaspersky indique également avoir bloqué jusqu’à présent 11 000 attaques, mais ce nombre pourrait facilement être beaucoup plus élevé. Les utilisateurs affectés se trouvent dans le monde entier, notamment dans des pays tels que le Mexique, le Brésil, la Russie, la Chine, les Émirats Arabes Unis, l’Algérie, l’Égypte, le Vietnam, le Sri Lanka et l’Inde.
Vous pouvez rester en sécurité en téléchargeant uniquement des logiciels à partir de sources légitimes, et disposer d’un logiciel antivirus de premier ordre tel que Bitdefender est une excellente idée.