NewTech Magazine N04

SECURITE
Qui vise-t-il ?
Ce logiciel est conçu pour viser les français : l’équipe
d’ESET a constaté qu’il vérifie avant de se lancer que
Windows est configuré en langue française et a défini
la France comme pays. Il vérifie aussi la configuration
du clavier, pour exclure les claviers anglais
ou russe. Alors pourquoi ne cibler que les français
? ESET avance une tentative d’explication sur son
site :
« Ceci constitue une astuce ingénieuse pour tromper
les analyseurs automatiques d’échantillons et
éviter d’attirer l’attention, grâce au nombre limité
de configurations informatiques sur lesquelles ce
logiciel malveillant est installé. »
Par ailleurs, les spams envoyés par Varenyky ne
le sont qu’à des adresses e-mail orange.fr (ou
wanadoo.fr, l’ancêtre du fournisseur d’accès à Internet
Orange).
Qui sont les auteurs de ce malware ?
Les rares indices dont dispose ESET ne lui permettent
pas de se risquer à établir des hypothèses.
L’entreprise souligne toutefois la qualité du français
utilisé dans l’e-mail contenant le malware, « ce qui
pourrait indiquer que ses opérateurs parlent couramment
français ».
Plus étonnant, l’équipe d’ESET a découvert une
page, accessible sur le darkweb par le biais du logiciel
TOR, permettant visiblement aux auteurs du
malware de se connecter à l’interface du serveur
distant qui récupère les informations dérobées. La
page a été plusieurs fois modifiée, et dans ses différentes
versions, les chercheurs ont pu y voir, pêlemêle,
une statue de Marianne avec les yeux rouges,
la formule latine « vade retro satanas », un panneau
allemand « Arrêt – Frontière de l’Etat – Entrée interdite
», la chanson de Mylène Farmer Fuck Them All
se lançant automatiquement, une publicité pour
une bière serbe, une photo de l’inspecteur de la
Panthère rose, un bouton de connexion en russe…
Difficile d’en tirer la moindre conclusion.
Les pirates ont-ils rançonné des victimes ?
ESET dit n’avoir trouvé aucune preuve que des
enregistrements d’écran aient été utilisés afin de
rançonner des victimes. « On ignore si ces vidéos
ont été enregistrées pour satisfaire la curiosité des
auteurs [de Varenyky] ou si ces derniers avaient
l’intention de les monétiser en pratiquant la “sextorsion”
[une pratique consistant à faire chanter des
internautes pour leurs photos ou vidéos explicites]
», écrit l’entreprise. Mais elles « pourraient être utilisées
pour exercer du chantage convaincant ».
D’autant que les auteurs de Varenyky ont déjà fait
chanter des internautes, en lançant en juillet une
campagne de « sextorsion » par e-mail, mais qui,
selon ESET, « ne semble pas reliée » à leur capacité à
enregistrer les écrans des internautes.
Cette arnaque « assez courante » et « largement
documentée », souligne l’entreprise, consiste à
envoyer un message de menaces aux victimes. Le
message laisse entendre que son auteur a piraté
l’ordinateur de la victime, a enregistré sa navigation
sur des sites pornographiques et l’a filmé, par l’intermédiaire
de sa webcam. Le message menace la
victime de divulguer ces vidéos à ses proches et sur
les réseaux sociaux, à moins qu’il ne verse 750 euros
en bitcoins. « L’adresse bitcoin utilisée pour cette
arnaque avait reçu quatre paiements », la dernière
fois qu’ESET a vérifié, la semaine dernière.
Si ces e-mails ne sont pas liés, selon ESET, à la capacité
d’enregistrer les écrans, et si l’entreprise ne
dispose d’aucune preuve que cette capacité ait été
exploitée, elle met les utilisateurs en garde, prévenant
que cela pourrait arriver. En disposant de capacité
de spam, d’enregistrement d’écran et de vol
de données personnelles, les auteurs du malware
ont toutes les cartes en main pour rançonner efficacement
leurs victimes.
L’entreprise de cybersécurité insiste aussi sur le fait
que ce logiciel « est en plein développement » : « Il
a considérablement changé depuis la première fois
que nous l’avons observé. »
24