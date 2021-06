Ce sont des utilisateurs et utilisatrices de Reddit qui ont mis la puce à l’oreille d’une équipe de spécialistes en cybersécurité de l’entreprise Avast, alors que plusieurs se questionnaient sur la disparition de l’antivirus éponyme de leur système.

Après avoir mené une enquête, Avast – qui a publié un rapport jeudi  (Nouvelle fenêtre) – a découvert qu’un maliciel était à l’origine de ce bogue, et qu’il voyageait à partir de logiciels de jeux vidéo piratés offerts en téléchargement sur des forums ou des sites de torrents.

Son fonctionnement

Selon le rapport, le maliciel, baptisé Crackonosh, circule depuis au moins juin 2018, notamment à travers des jeux vidéo, tels que NBA 2K19, Grand Theft Auto V, Far Cry 5, Les Sims 4 et Jurassic World Evolution.

Grand Theft Auto V figure parmi les jeux piratés dont le téléchargement du torrent pourrait inclure le maliciel Crackonosh. Photo : Rockstar Games

Lors de l’installation dudit logiciel, un fichier installateur (serviceinstaller.exe) et un script inclus dans le torrent modifient le registre de Windows, ce qui permet au maliciel de s'exécuter incognito lors des démarrages de l’ordinateur, qui opte automatiquement pour le mode sans échec (sans le chargement de certains fichiers et pilotes de l’ordinateur).

Lorsque le système Windows est en mode sans échec, les logiciels antivirus ne fonctionnent pas. Une citation de :Daniel Benes, chercheur d’Avast

Ça peut permettre au malicieux fichier serviceinstaller.exe de désactiver et de supprimer facilement l’antivirus Windows Defender , poursuit Daniel Benes dans le rapport d'Avast.

Finalement, le maliciel déploie un logiciel XMRig, qui exploite le système et ses ressources afin de miner de la cryptomonnaie Monero (XMR).

Des signes d’infection

Daniel Benes indique dans le rapport plusieurs signes qu’un ordinateur est infecté, à commencer par le ralentissement, sa détérioration rapide et des factures d’électricité plus élevées qu’à l’habitude.

Crackonosh met également un frein au logiciel Mises à jour Windows, en plus de remplacer l’icône en forme de bouclier de Sécurité Windows dans la barre d’état du système par une fausse, de couleur verte.

Selon le rapport d’Avast, les pays les plus sévèrement touchés sont le Brésil, l’Inde et les Philippines. Plusieurs cas ont aussi été répertoriés au Canada et aux États-Unis.

Le maliciel Crackonosh a été davantage téléchargé au Brésil, en Inde est aux Philippines. Photo : Avast

À noter qu’Avast n’est pas le seul antivirus à être ciblé par Crackonosh. Kaspersky, McAfee, Norton et Bitdefender peuvent également se voir désactivés et supprimés par le maliciel.

Un stratagème profitable

Avast estime aujourd'hui à 1000 les appareils touchés chaque jour par le maliciel, pour un total de 222 000 ordinateurs infectés dans le monde depuis 2018.

Une trentaine de variantes du maliciel ont été identifiées, la dernière ayant été publiée en novembre 2020.

Plus de 900 pièces XMR ont été minées grâce à ce stratagème, ce qui équivaut à plus de 2 millions de dollars américains.

L’origine du maliciel demeure inconnue, mais Avast a des soupçons quant à son créateur ou sa créatrice, qui pourrait être tchèque, Crackonosh signifiant l’esprit des montagnes dans le folklore.

À la question à savoir quand le maliciel perdra du terrain, le rapport d’Avast souligne que tant que les gens continueront à télécharger des logiciels piratés, les attaques de ce type se poursuivront et continueront à être rentables pour les malfrats .