KMSPico, un Faux Outil d’Activation Windows

Un Faux Outil d’Activation KMSPico pour Windows : Utilisé pour Propager le Voleur de Données Vidar.


Le 9 juin 2024, les chercheurs en sécurité de Symantec Broadcom ont publié un avis de découverte concernant un faux outil d’activation Windows nommé “KMSPico“.

Cet outil est utilisé pour propager un logiciel malveillant voleur de données connu sous le nom de Vidar (InfoStealer). Cette attaque met en lumière les dangers associés à l’utilisation de logiciels non officiels pour l’activation de Windows.

Détails de l’Attaque

La propagation de ce logiciel malveillant se fait via une campagne de téléchargement trompeuse. Les utilisateurs sont incités à télécharger une application prétendument conçue pour activer Windows, appelée “Outil d’activation KMSPico“. Bien que commercialisé comme un “activateur universel” pour Windows, cet outil n’était plus maintenu depuis plusieurs années, ce qui en fait une cible facile pour les cybercriminels. L’attaque exploite plusieurs techniques avancées pour infecter les systèmes :

  • Dépendances Java et Script AutoIt : Les attaquants utilisent des dépendances Java et un script AutoIt malveillant pour désactiver Windows Defender, permettant ainsi au logiciel malveillant de s’exécuter sans être détecté.
  • Shellcode et Charge Utile Vidar : Une fois Windows Defender désactivé, un shellcode est utilisé pour décrypter et exécuter la charge utile Vidar.

Fonctionnalités du Logiciel Malveillant Vidar

L’infection est généralement identifiée par un fichier classifié comme Cheval de Troie.Gen.MBT. Ce fichier joue un rôle crucial dans la compromission initiale du système. Vidar est principalement conçu pour voler des données sensibles, notamment :

  • Données des navigateurs : Informations de connexion, cookies, et historiques de navigation.
  • Portefeuilles numériques : Informations sur les portefeuilles de crypto-monnaies.
  • En outre, Vidar peut également servir de téléchargeur pour des ransomwares, augmentant ainsi les risques pour les utilisateurs infectés.

Protection et Prévention

Symantec offre une protection robuste contre cette menace grâce à plusieurs mécanismes :

  • Détection Comportementale : Basée sur le comportement (“SONAR.SuspPE!gen32”), Symantec peut identifier et neutraliser des activités suspectes avant qu’elles ne causent des dommages.
  • Identification de Trojans : La présence d’un fichier identifié comme Cheval de Troie.Gen.MBT permet aux systèmes de détection de Symantec de bloquer les tentatives d’infection.
  • Protection Web : En observant les domaines et les adresses IP associés à des activités malveillantes, les produits compatibles WebPulse de Symantec peuvent prévenir les utilisateurs des dangers avant qu’ils ne visitent des sites compromis.

Plusieurs campagnes malveillantes Vidar au cours des dernières années

  • Campagnes de Spam et Phishing : Vidar a souvent été distribué via des campagnes de spam et de phishing. Les attaquants envoient des e-mails contenant des liens ou des pièces jointes malveillantes. Ces e-mails prétendent souvent provenir de sources fiables, comme des entreprises légitimes ou des services en ligne populaires, pour inciter les victimes à ouvrir les liens ou les pièces jointes.
  •  Sites de Téléchargement Malveillant : Vidar a été trouvé sur des sites de téléchargement malveillants ou compromis. Ces sites prétendent offrir des logiciels, des jeux, ou des cracks gratuits. En réalité, les fichiers téléchargés sont des vecteurs pour Vidar, qui s’installe silencieusement sur l’ordinateur de la victime.
  • Exploitation de Kits d’Exploits : Des kits d’exploits comme Fallout et RIG ont été utilisés pour distribuer Vidar. Ces kits exploitent des vulnérabilités dans les navigateurs et les plugins pour installer Vidar sur les systèmes des utilisateurs qui visitent des sites Web compromis ou malveillants.
  • Faux Sites de Streaming et de Jeux : Les attaquants ont créé de faux sites de streaming ou de jeux en ligne pour distribuer Vidar. Ces sites demandent souvent aux utilisateurs de télécharger un lecteur vidéo ou un jeu pour accéder au contenu, mais le téléchargement contient Vidar.
  • Utilisation de Services de Téléchargement Légitimes :  Certaines campagnes ont utilisé des services de téléchargement légitimes pour distribuer Vidar. Par exemple, des services comme Dropbox ou Google Drive ont été utilisés pour héberger les fichiers malveillants, rendant les liens plus crédibles pour les victimes potentielles.
  • Attaques sur les Forums et Réseaux Sociaux : Vidar a été propagé via des messages sur les forums et les réseaux sociaux. Les attaquants postent des liens ou des fichiers prétendant offrir des hacks, des cracks, ou des outils gratuits, mais qui en réalité contiennent Vidar.

Exemples Concrets de Campagnes

  • Campagne de Fin 2018 : En fin 2018, Vidar a été largement distribué via le kit d’exploits Fallout. Les attaquants ont ciblé des utilisateurs visitant des sites Web compromis, en exploitant des vulnérabilités dans Flash Player pour installer Vidar.
  • Campagne de Début 2019 : Au début de 2019, Vidar a été utilisé dans une campagne de phishing sophistiquée où les e-mails semblaient provenir de PayPal. Les e-mails contenaient des liens vers des pages de phishing qui tentaient de voler les informations de connexion PayPal des victimes, et en arrière-plan, téléchargeaient et exécutaient Vidar pour voler davantage de données.

Conclusion

Vidar continue d’évoluer et de s’adapter, utilisant diverses méthodes de distribution pour infecter les systèmes. L’incident autour du faux outil d’activation KMSPico souligne l’importance de ne télécharger que des logiciels provenant de sources fiables. Les utilisateurs doivent être conscients des risques associés à l’utilisation de logiciels non officiels et toujours s’assurer que leurs systèmes de sécurité sont à jour pour se protéger contre les menaces émergentes. Symantec continue de surveiller ces menaces et de fournir des solutions pour protéger les utilisateurs contre de telles attaques sophistiquées.

A propos de l'auteur

Retour en haut