Malwares : VirusTotal liste les logiciels les plus vérolés

Selon un rapport de VirusTotal, les hackers infectent de plus en plus des applications populaires comme Alexa, Adobe Acrobat, VLC, Discord ou Skype pour diffuser des malwares. Plus que jamais, la méfiance s'impose.

VirusTotal, le service en ligne d'analyse de logiciels malveillants – qui appartient à Google – vient de publier un rapport intitulé Deception at Scale : How Malware Abuses Trust (lilttéralement, Tromperie à grande échelle : comment les logiciels malveillants abusent de la confiance) sur les techniques utilisées par les hackers pour diffuser des virus et autres logiciels malveillants en abusant de la confiance des utilisateurs vis-à-vis de certaines applications réputées. Et si les pirates exploitent plusieurs approches, le principe est toujours le même : parti de la vulnérabilité humaine pour inciter les victimes à divulguer des informations privées en contournant les différents systèmes de défense mis en place. Et le plus impressionnant, c'est que ces "génies du mal" n'hésitent pas à s'appuyer sur des applications très populaires, que tout est susceptible de télécharger et d'utiliser sans méfiance…

Des malwares qui utilisent des logiciels réputés

VirusTotal est un outil de détection de menaces qui, grâce à son propre moteur de recherche dédié aux échantillons de malware, aux domaines et aux modèles comportementaux des pirates, inspecte les éléments avec plus de 70 scanners antivirus et services de blocage d'URL/domaines. Il suffit de sélectionner un fichier sur son ordinateur ou de saisir une URL à l'aide de son navigateur et l'envoyer à la firme. Elle a d'ailleurs dévoilé il y a peu de temps un rapport sur l'état des menaces en matière de logiciels malveillants – il est primordial de connaitre au mieux le fonctionnement des attaques pour pouvoir les contrer. Et la conclusion est plutôt inquiétante.

La technique la plus efficace de piratage consiste à dissimuler un morceau de code malveillant dans des mises à jour ou autres packages d'installation de logiciels légitimes, en profitant de la confiance des utilisateurs envers la réputation du logiciel – personne ne penserait se faire infecter en téléchargeant Facebook, par exemple. En plus, les milliards d'utilisateurs du logiciel sont autant de proies potentielles. A titre d'exemple, VirusTotal a découvert que 10 % des 1 000 premiers domaines Alexa, l'assistant vocal d'Amazon, ont propagé quelque 2,5 millions de fichiers suspects.

Skype, Adobe Acrobat et Discord infectés

Plusieurs techniques sont utilisées. La plus courante – et qui est en nette augmentation – est d'imiter visuellement des applications légitimes. L'icône du logiciel est d'ailleurs "une caractéristique essentielle" pour convaincre les utilisateurs que les programmes qu'ils téléchargent sont bien légitimes et inoffensifs. Et c'est Skype qui arrive en tête des logiciels les plus utilisés par les pirates pour mener à bien les campagnes de piratage. Viennent ensuite Adobe Acrobat – qui permet de lire les PDF – et VLC – le lecteur média français très populaire. Sont également touchés CCleaner, WhatsApp, Steam, Zoom, les navigateurs Web comme Chrome et Firefox, et, plus ironique encore, Malwarebytes, le célèbre outil de sécurité destiné justement à détecter les logiciels malvaillants…

Une autre technique souvent utilisée est le vol de certificats de signatures de codes légitimes auprès de fabricants de logiciels, qui sont ensuite utilisés pour signer le logiciel malveillant. Un certificat de signature est un certificat numérique qui contient certaines informations permettant d'identifier une organisation, et qui a été émis par une Autorité de Certification. Il donne accès aux zones les plus privilégiées du système d'exploitation et peuvent désactiver les produits de sécurité. Le service d'analyse des logiciels malveillants a déclaré avoir trouvé plus d'un million d'échantillons malveillants depuis janvier 2021, dont 87 % avaient une signature légitime lors de leur premier téléchargement dans sa base de données. La mesure de sécurité a donc été contournée.

Une troisième méthode, bien que plus sophistiquée cette fois-ci, consiste à intégrer l'installateur légitime en tant que ressource exécutable portable (PE) dans le malware. Le programme d'installation est donc exécuté lorsque le logiciel malveillant est exécuté, ce qui donne l'illusion que le logiciel fonctionne comme prévu. Enfin, il faut également faire attention au logiciel de messagerie instantanée Discord, qui comporte plusieurs vulnérabilités dans son Content Delivery Network (CDN), – des ordinateurs reliés en réseau à travers Internet pour faciliter la diffusion rapide de contenus sur Internet – images, vidéos, pages HTML, etc – et est donc susceptible d'abriter des malwares.