Les pirates sont toujours à la recherche de moyens intelligents pour contourner le meilleur logiciel antivirus afin de pouvoir diffuser des logiciels malveillants. Il semble maintenant qu'ils aient compris comment contourner l'un des mécanismes de sécurité intégrés à Windows Defender.

Tel que rapporté par BleepingComputer, une nouvelle campagne diffusant le malware voleur d'informations Phemadrone exploite une vulnérabilité de haute gravité (suivie comme CVE-2023-36025) dans Windows SmartScreen.

Même si vous n'avez peut-être jamais entendu parler de Windows SmartScreen auparavant, vous connaissez probablement cette fonctionnalité. Vous voyez, lorsque vous téléchargez des fichiers URL en ligne, un avertissement de sécurité apparaît généralement pour vous informer que ces types de fichiers peuvent être dangereux. Cependant, en exploitant cette vulnérabilité dans Windows SmartScreen, les pirates peuvent désactiver complètement ces invites, ce qui incite davantage d'utilisateurs à ouvrir leurs fichiers malveillants.

Si vous craignez de télécharger accidentellement un fichier dangereux et d'infecter votre propre PC avec des logiciels malveillants, voici tout ce que vous devez savoir sur cette nouvelle campagne ainsi que quelques conseils pour assurer votre sécurité en ligne.

Contourner SmartScreen pour installer des logiciels malveillants

Un hacker tapant rapidement sur un clavier

Selon un nouveau rapport de Trend Micro, d'autres familles de logiciels malveillants, en plus de Phemadrone, ont abusé de cette vulnérabilité de Windows SmartScreen pour inciter les utilisateurs sans méfiance à ouvrir des fichiers dangereux.

L'une des façons dont les pirates derrière cette campagne et d'autres similaires rendent leurs fichiers malveillants moins dangereux est de les héberger sur des services cloud dignes de confiance tels que Discord ou FileTransfer.io. Ils proposent également des services de raccourcissement d’URL pour les dissimuler davantage.

Une fois l'un de ces fichiers URL malveillants ouvert, il télécharge ensuite un fichier d'élément du panneau de configuration (.cpl) à partir d'un serveur de commande et de contrôle (C&C) géré par les pirates derrière cette campagne. Ceci est utilisé pour lancer un chargeur PowerShell qui récupère un fichier ZIP malveillant contenant le malware Phemadrone déguisé en fichier PDF intitulé « Secure.pdf ».

Une fois que le malware Phemadrone est installé sur le PC d'une victime, il peut récolter des mots de passe, des cookies et remplir automatiquement les données des navigateurs basés sur Chromium ainsi que de quelques-uns des meilleurs gestionnaires de mots de passe, notamment LastPass et KeePass. Cependant, il peut également voler des fonds dans des portefeuilles cryptographiques ainsi que des fichiers et dossiers stockés sur le PC d'une victime.

Comment se protéger des logiciels malveillants Windows

Meilleur logiciel antivirus

SmartScreen a déjà été corrigé. Cela signifie que la mise à jour de votre PC avec les dernières mises à jour de sécurité Windows devrait suffire à vous protéger de toute attaque exploitant cette faille de haute gravité.

Comme ils le font souvent, les pirates informatiques adorent s’en prendre aux utilisateurs qui n’ont pas encore mis à jour leurs meilleurs ordinateurs portables et les meilleurs ordinateurs avec les derniers logiciels. Même si cela peut parfois sembler ennuyeux, installer les mises à jour de Microsoft dès qu'elles sont disponibles est l'un des moyens les plus simples de se protéger des pirates et autres cybercriminels.

Étant donné que les attaques comme celle décrite ci-dessus sont capables de contourner le meilleur logiciel antivirus Windows, c'est à vous d'éviter de télécharger et d'essayer d'ouvrir des fichiers potentiellement dangereux. Si vous ne piratez pas de jeux ou de films, vous êtes déjà sur un bon départ puisque de nombreux malwares se propagent de cette manière. De même, vous devez également être très prudent lorsque vous téléchargez des fichiers de collègues, d'amis et même de votre famille. En effet, les pirates informatiques peuvent avoir compromis leurs comptes et tenter d’utiliser leurs contacts comme moyen de propager encore plus leurs charges utiles malveillantes.

Pour cette raison, vous souhaitez vous en tenir au téléchargement de fichiers à partir de sites et de sources fiables, car Google, Microsoft et d'autres géants de la technologie analysent fréquemment les fichiers stockés sur les meilleurs services de stockage cloud à la recherche de logiciels malveillants et d'autres menaces.

Même si la faille dans Windows SmartScreen a peut-être été corrigée, ce n'est probablement pas la dernière fois que nous en voyons, car les pirates continueront probablement à exploiter cette vulnérabilité dans leurs attaques, même si elle a déjà été corrigée.