Le dernier film de Leonardo DiCaprio sert d'appât à une campagne malware d'une sophistication redoutable. Bitdefender Labs révèle comment un téléchargement pirate peut tout simplement zombifier votre PC Windows.
Télécharger discrètement le tout récent blockbuster de Leonardo DiCaprio sur un site de torrents peut être une très, très mauvaise idée. Les chercheurs de Bitdefender viennent de dévoiler ce mercredi une attaque d'une ingéniosité diabolique, qui atteint son sommet alors que les nominations pour les Golden Globes (qui préfigurent celles des prochains Oscars) sont tombées. Derrière un fichier vidéo d'apparence inoffensive se tapit Agent Tesla, un cheval de Troie bien connu des experts en cybersécurité, en ce qu'il est capable de livrer les clés de votre machine Windows aux cybercriminels.
Le succès du nouveau DiCaprio exploité par les hackers
Les pirates informatiques savent toujours très bien exploiter l'actualité culturelle, cinématographique plus particulièrement. Leur dernière cible n'est autre que One Battle After Another, Une bataille après l'autre en français, le dernier long-métrage avec Leonardo DiCaprio qui a conquis les salles vient surtout d'arriver en tête des nominations aux Golden Globes. L'appât parfait pour ferrer des milliers d'internautes pressés de voir le film sans payer.
Le faux fichier en question circule vite sur les plateformes de téléchargement illégal, comme l'ont constaté les équipes de Bitdefender Labs. Les compteurs affichent des milliers de « seeders » et « leechers », ces utilisateurs qui partagent ou aspirent activement le contenu.
La campagne malveillante vise délibérément les néophytes du piratage, ces internautes occasionnels qui s'aventurent rarement sur les sites de torrents, pour récupérer un contenu en particulier. Ils sont alors attirés par la perspective de voir rapidement le film et ignorent généralement les précautions élémentaires. Les attaquants ont conçu leur piège spécialement pour ces victimes sans méfiance.
Agent Tesla transforme les PC Windows en machines zombies
Le logiciel malveillant utilisé par les pirates, c'est Agent Tesla. Ce dernier traîne sa réputation sulfureuse depuis des années dans l'écosystème des cybermenaces et l'univers Windows. Ce RAT (Remote Access Trojan), un cheval de Troie, a sévi dans d'innombrables campagnes, du phishing classique aux arnaques sur la vaccination COVID-19. Mais Bitdefender souligne le raffinement de cette nouvelle chaîne d'infection.
Le malware poursuit l'objectif aussi simple que terrifiant de métamorphoser votre ordinateur en « agent zombie », mobilisable à volonté par les criminels. Dès qu'il est installé, Agent Tesla ouvre un boulevard aux attaquants, qui ont alors accès aux mots de passe, identifiants bancaires et données personnelles.
Ce qui rend cette attaque redoutable, c'est qu'elle n'installe rien sur votre disque dur. Le malware fonctionne uniquement dans la mémoire vive, invisible pour la plupart des antivirus qui scannent les fichiers. Cette méthode sans fichier combinée à des techniques de camouflage sophistiquées la rend presque indétectable. C'est relativement inédit, selon Bitdefender.
La mécanique diabolique cachée dans les fichiers de sous-titres
L'infection démarre de façon tout à fait innocente. Vous téléchargez un dossier contenant apparemment une vidéo et ses sous-titres. Mais cliquer sur le lanceur du film (CD.lnk) déclenche une réaction en chaîne dévastatrice. Le fichier exécute des commandes dissimulées dans Part2.subtitles.srt, un fichier de sous-titres truqué.
Ce fichier contient de vrais sous-titres fonctionnels pour donner le change. Oui, c'est assez pervers, mais attendez la suite. Seules les lignes 100 à 103 renferment du code malveillant. S'enclenche alors une cascade de scripts PowerShell qui déchiffrent des données cryptées via AES, créent des tâches planifiées camouflées en services audio, et extraient des archives planquées dans de fausses images JPG.
Cinq mini-programmes PowerShell agissent en cascade, avec déballage d'archives déguisées, création d'une fausse maintenance système nommée « RealtekDiagnostics » qui imite les services audio de Windows, et extraction de code dissimulé dans des fichiers images bidons, protégés par le mot de passe « 1 ». La ruse consiste à n'utiliser que des logiciels Windows authentiques déjà présents, une technique dite Living Off the Land, ou exploitation des ressources locales. L'occasion de rappeler, une fois encore, que le téléchargement de contenus illégaux est à vos risques et périls.
