Pourquoi c’est important : le piratage de logiciels n’est pas nouveau, mais avec la prolifération des « activateurs » pour Windows et Office, vous avez également des acteurs malveillants qui se démènent pour tirer parti des utilisateurs sans méfiance qui utilisent de tels outils. Leurs victimes le font en croyant économiser sur les coûts de licence logicielle, mais en même temps, elles exposent leurs systèmes à des logiciels malveillants sophistiqués qui échappent à la détection des solutions antivirus commerciales et peuvent voler des informations sensibles.
Si vous achetez ou construisez un nouveau PC, vous devrez probablement acheter une licence Windows pour celui-ci. Beaucoup de gens ne sont pas prêts à se séparer de plus de 100 $ pour en obtenir un, ils ont donc souvent recours à l’achat de clés bon marché sur des sites Web du marché gris ou à l’utilisation de l’un des nombreux « activateurs » disponibles en ligne. Cette dernière option est toujours une décision risquée, mais historiquement, elle n’a pas causé de dommages majeurs à la plupart des utilisateurs qui ont emprunté cette voie.
Selon les chercheurs en sécurité de Red Canary, des acteurs malveillants ont récemment modifié l’un de ces outils pour distribuer des logiciels malveillants capables de voler des jetons dans des portefeuilles de crypto-monnaie. L’outil en question est KMSPico, qui peut émuler un serveur Key Management Services (KMS) localement pour activer des licences pour les produits Windows et Office.
L’un des programmes d’installation malveillants de KMSPico analysés par les chercheurs contient un logiciel malveillant Cryptbot qui peut voler les informations d’identification et d’autres informations sensibles des navigateurs Web installés sur votre PC. Il affecte également divers portefeuilles de crypto-monnaie tels que Ledger Live, Atomic, Electrum, Exodus, Coinomi, etc. Plus important encore, il peut être utilisé pour supprimer des logiciels malveillants bancaires tels que Danabot ou toute autre charge utile malveillante.
Il convient également de noter que le malware Cryptbot est difficile à détecter, car ses créateurs utilisent diverses méthodes pour échapper à la détection par les solutions antivirus traditionnelles, y compris les binaires cryptés. Quoi qu’il en soit, cela prouve que la voie du piratage dans le cas de Windows et Office n’en vaut pas la peine si l’on considère les risques encourus. Au contraire, l’achat d’un PC livré avec Windows préinstallé lorsqu’il est en vente pourrait être le meilleur moyen d’économiser de l’argent sur le front des licences.
L’analyste du renseignement de Red Canary, Tony Lambert, affirme que ce ne sont pas seulement les utilisateurs à domicile réguliers qui utilisent cet outil. De nombreuses petites entreprises essaient d’économiser sur les coûts de licence en utilisant des copies piratées de Windows et Office activées à l’aide de KMSPico, ce qui introduit de nombreux risques de sécurité pour leur infrastructure informatique. Lambert note que la société a même « expérimenté un engagement de réponse à un incident malheureux où notre partenaire IR n’a pas pu remédier à un environnement car l’organisation ne disposait pas d’une seule licence Windows valide dans l’environnement ».
Crédit générique : Arget | Unsplash