Un dangereux virus que (presque) rien n’arrête cible les PC

Une nouvelle menace se répand sur certaines machines fonctionnant sous Windows. Ce malware, répondant au nom de Phemedrone Stealer, s’attaque aux données les plus sensibles, comme vos identifiants et mots de passe.

Phemedrone Stealer. Retenez bien ce nom, car il s’agit d’une redoutable menace ciblant actuellement les ordinateurs fonctionnant sous Windows. Identifié par les chercheurs en sécurité de Trend Micro au cours d’une « chasse aux menaces de routine », ce logiciel malveillant particulièrement vicieux est capable de passer outre Microsoft Defender, le système antivirus installé nativement sur Windows.

Vol d’identifiants, de portefeuilles crypto et captures d’écran

Pour infecter les machines des utilisateurs, Phemedrone Stealer exploite la faille CVE-2023-36025 qui affecte Windows Defender Smartscreen. Cette faille découle d’une absence de vérification quant à la sécurité des raccourcis internet (.url). De ce fait, les pirates profitent de l’occasion pour générer des fichiers .url malveillants qui se chargent de télécharger et d’exécuter des scripts malveillants, en coutournant l’avertissement généré par le contrôle de Smartscreen.

Phemedrone Stealer cible principalement les navigateurs Web ainsi que les données de portefeuilles de cryptomonnaie. Sur Chrome, par exemple, ce malware est capable de collecter de nombreuses données : mots de passe, cookies, informations enregistrées dans les modules de remplissage automatique des gestionnaires de mots de passe comme LastPass, KeePass, NordPass, Google Authenticator, ou encore Microsoft Authenticator. Il peut également infecter des applications de messagerie comme celles de Steam, ou encore Telegram et Discord dans le but d’extraire vos données personnelles, notamment celles liées à l’authentification. Des applications comme FileZilla, un client FTP, sont aussi ciblées, le malware se chargeant alors de capturer les détails de connexion FTP ainsi que les différentes informations d’identifications enregistrées dans le programme.

Écrit en C#, dont le code de ce programme malveillant, maintenu sur Github et Telegram, est open source. Il peut aussi bien réaliser des captures d’écran de votre PC à votre insu, que de siphonner vos données personnelles. Une fois ces données volées, elles sont envoyées aux hackers via Telegram, ou sur un serveur sous leur contrôle.

Pour commettre leur méfait, les hackers diffusent une série de fichiers de raccourcis au format .url sur différentes plates-formes, comme Discord, ou sur des services de stockage en ligne, comme FileTransfer.io. Pour couronner le tout, ils utilisent par ailleurs des services de raccourcisseur d’URL, comme shorturl.at dans le but de brouiller encore un peu plus les pistes. Reste ensuite à atteindre que le poisson, un utilisateur peu méfiant, morde à l’hameçon en cliquant sur le lien malveillant pour que ce dernier exploite la brèche.

Une faille corrigée par Microsoft, mais toujours activement exploitée

Le plus surprenant dans cette histoire reste sans doute que la faille exploitée par les pirates a déjà été corrigée par Microsoft, en novembre dernier. Le correctif ayant été publié, les détails de cette brèche ont depuis été mis en ligne sur la Toile. Les hackers, toujours à l’affût des machines sur lesquelles le correctif n’a pas été appliqué (et qui sont donc toujours vulnérables) en ont ainsi profité pour mener une campagne d’infection d’envergure ciblant celles-ci. Encore une raison, s’il en fallait une, pour veiller à ce que les dernières mises à jour soient correctement installées sur votre PC.

? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : TechRadar