Imaginez que vous vouliez télécharger des logiciels populaires comme Chrome, Java ou Skype. Comment trouverez-vous le lien de téléchargement ? En utilisant un moteur de recherche comme Google, probablement. C’est exactement ce dont profitent les criminels français pour répandre un cheval de Troie : ils achètent des liens sponsorisés pour apparaître dans les premières places et infecter le plus grand nombre d’utilisateurs possible.
Kaspersky, qui a découvert le fléau, affirme que plusieurs logiciels populaires sont la cible des escrocs : lorsque l’utilisateur recherche des termes comme Firefox, Skype, Chrome, Flash Player, Java et WinRAR sur Google, l’un des premiers résultats dirige l’utilisateur vers une page contenant la description du programme et le lien de téléchargement, qui installe une application malveillante capable de voler les mots de passe bancaires, identifiée comme Trojan-Banker.Win32.Lohmys.a.
Mais l’astuce n’est pas si simple : les criminels se servent de diverses manières pour tromper l’utilisateur et essayer de le convaincre qu’il s’agit de quelque chose de légitime. Le premier détail est que les fichiers sont hébergés dans Google Code, un service de Google pour les développeurs. De plus, les exécutables téléchargent et installent le programme que l’utilisateur souhaite (ainsi que le cheval de Troie, bien sûr).
Pour aggraver les choses, le cheval de Troie est signé numériquement, pour tenter de passer inaperçu auprès de l’utilisateur et du logiciel de sécurité. Le certificat numérique était valide, a été délivré par Verisign et était au nom d’un certain “Jander Pinto da Silva” (il est très probable que le nom soit faux). Verisign a déjà révoqué le certificat, qui a été utilisé dans plus de 50 chevaux de Troie bancaires.
Kaspersky déclare avoir averti Google de la campagne de liens sponsorisés, cependant, PerlmOl a constaté qu’au moment de la publication de ce texte, il était encore possible de voir non pas un, mais deux sites suspects distribuant un installateur Skype en cherchant “download skype”, comme vous pouvez le voir dans l’image ci-dessous :
Lorsqu’il est installé, le cheval de Troie crée des entrées dans le registre de Windows, dont l’une provoquera l’ouverture du fichier malveillant au démarrage du système, selon Fabio Assolini, chercheur en sécurité de Kaspersky. Certains fichiers DLL sont enregistrés dans Internet Explorer et seront responsables de la saisie de données sensibles sans que l’utilisateur ne s’en aperçoive.
