Des chercheurs en sécurité informatique ont découvert une nouvelle technique utilisée par les pirates pour propager un virus informatique de type cheval de Troie. Ces derniers utilisent un faux CAPTCHA pour forcer l’internaute à installer le virus Gozi, aussi connu sous le nom de Ursnif. Celui-ci cherche à voler nos informations et notre compte de banque.
Des chercheurs en sécurité informatique de chez MalwareHunterTeam ont découvert un nouveau stratagème utilisé par les pirates informatiques pour infecter des ordinateurs.
Ces derniers ont partagé leur découverte au site spécialisé BleepingComputer qui a ensuite décortiqué le modus operandi de cette nouvelle tactique.
La ruse est assez sophistiquée et utilise un faux CAPTCHA pour forcer l’internaute à télécharger le virus Gozi, mieux connu sous le nom d’Ursnif.
Il s’agit d’un virus de type cheval de Troie qui va ensuite chercher à accéder à notre compte de banque, donner accès à distance au pirate à notre ordinateur, puis installer d’autres logiciels malveillants.
Qu’est-ce qu’un CAPTCHA et à quoi ça sert?
Avant d’aborder le vif du sujet sur la propagation du virus Ursnif, un petit rappel est de mise sur ce qu’est un CAPTCHA et à quoi ça sert.
On a tous consulté une fois dans nos vies une page web qui nous affichait une boîte sur laquelle on doit cocher une case à la gauche d’une mention: I’m not a robot ou: Je ne suis pas un robot.
Un CAPTCHA peut prendre plusieurs formes, que ce soit de taper du texte, des chiffres ou identifier des éléments d’une photo ou de plusieurs images.
Comme indiqué, le but est de démontrer que nous ne sommes pas un robot et ainsi protéger nos comptes, mais aussi éviter au site d’être « spammer » par des robots.
Plusieurs types de reCAPTCHA peuvent ensuite être utilisés. Bien souvent, ce sont des caractères et des chiffres que l’on doit taper. D’autres fois, on doit identifier un élément précis parmi une ou des images.
Bref, ne partez pas en peur si vous tombez sur une page web utilisant un reCAPTCHA. Certes, il y a une pomme pourrie dans le lot, mais comme vous le verrez ci-bas, elle est relativement facile à identifier.
Comment identifier le faux CAPTCHA du virus Ursnif
Le site BleepingComputer explique que le virus Ursnif semble se propager via de fausses vidéos YouTube qui sont incorporées à des sites que l’on peut évidemment qualifier de douteux.
Au moment de lancer la vidéo, ceci déclenche le téléchargement d’un fichier exécutable du nom de console-play.exe.
C’est à ce moment qu’apparaît le faux reCaptcha. Et son apparition n’est pas anodine. En effet, le faux reCaptcha en question vise, d’une part, à masquer l’avertissement de notre navigateur comme quoi nous sommes en train de télécharger un fichier malveillant.
La supercherie élève alors son jeu d’un cran.
Pour « prouver » que l’on n’est pas un robot, le faux reCaptcha nous demande de taper sur les touches B, S, Tab, A, F et Enter.
Appuyer sur les touches B, S, A et F ne fera rien du tout. Par contre, appuyer sur la touche Tab permet de sélectionner le fichier exécutable. Enfin, en appuyant sur la touche Enter on lance l’exécution de ce fameux fichier.
Bam! On est infecté!
Voici à quoi ressemble le faux reCAPTCHA qui cache le virus Ursnif via de fausses vidéos YouTube sur des sites web. Crédit Image: BleepingComputer.
Une fois que l’on a lancé l’exécution du fichier console-play.exe, ce dernier créer un dossier du nom de %AppData%Bouncy for .NET Helper dans le lequel réside plusieurs fichiers.
Tous ces fichiers sont des leurres sauf un, celui nommé BouncyDotNet.exe, qui va ensuite télécharger et installer le fameux virus Ursnif.
Comment se protéger du virus Gozi / Ursnif
La supercherie est donc très bien élaborée et peut faire pas mal de ravage une fois qu’elle est exécutée jusqu’au bout.
Or, il existe quelques moyens de se protéger contre cette tactique.
D’une part, en connaissant le modus operandi, on peut éviter de tomber dans le piège si l’on voit un reCAPTCHA qui nous demande d’appuyer sur la touche Tab, puis Enter.
Ensuite, si un doute persiste, on peut scanner le site web via l’aide de l’outil gratuit VirusTotal qui est en mesure d’identifier la menace.
Enfin, se doter d’un antivirus sur sa machine offre une protection supplémentaire contre l’installation de ce fichier malveillant et permet de le retirer si nous avons quand même décidé de l’installer malgré les avertissements de notre antivirus.
Nos choix d’antivirus et suites de protection 2021
Consulter notre kit antifraude sur fraudeweb.com
