Les chercheurs en sécurité de Check Point ont découvert la présence d’un malware au sein d’une fausse application Google Traduction. Proposé par un développeur turc appelé Nitrokod, le logiciel prend la forme d’une application de bureau Google Traduction destinée aux ordinateurs Windows.
Le développeur profite de l’absence d’application Windows officielle pour attirer les internautes. Dans la même veine, Nitrokod propose une application YouTube Music ou Yandex pour PC. Notez que tous les logiciels sont disponibles au téléchargement gratuitement. Il opère depuis 2019.
Comme l’explique Check Point, ces logiciels ont été construits à partir des pages web officielles. Les individus derrière la campagne ont ensuite ajouté un malware dans le code du programme. Une fois installé sur le PC de sa victime, le virus va se montrer prudent. La charge malveillante ne s’activera qu’un mois après l’installation du programme. De cette manière, les internautes ne feront pas le lien entre le téléchargement du logiciel et le comportement suspect de leur ordinateur. Dans la foulée, il supprime tous les fichiers d’installation. Ces précautions ont permis au malware « de fonctionner avec succès sous le radar pendant des années ».
Sur le même thème : Ils ont caché leur malware dans cette célèbre photo du télescope James Webb
Le minage de Monero
Le maliciel va alors installer et lancer XMRig, un outil qui permet de miner du Monero (XMR), une cryptomonnaie anonyme. En exploitant la puissance du processeur de l’ordinateur, le malware va générer des devises numériques à l’insu de l’utilisateur. Ce procédé va rapidement avoir un impact sur l’autonomie de la batterie et sur les performances de l’ordinateur. Il peut également arriver que la machine se mette à surchauffer, mettant en péril l’intégrité des composants.
C’est loin d’être la première fois qu’un logiciel malveillant mine du Monero sur le PC de ses victimes. Par le passé, Check Point a notamment découvert la trace d’un virus appelé CoinHive. Actif depuis 2017, il peut accaparer jusqu’à 65 % de la puissance du CPU d’un ordinateur.
Depuis sa création en 2014, le Monero s’est progressivement imposé comme l’une des cryptomonnaies préférées des cybercriminels. Contrairement au Bitcoin, le XMR est anonyme. Il est impossible de suivre les transactions. La blockchain Monero est complètement opaque. C’est idéal pour collecter une rançon par le biais d’un ransomware ou récupérer des cryptomonnaies minées illégalement. Les autorités sont alors incapables de remonter jusqu’au wallet des pirates.
Le piège des recherches Google
Après enquête, Check Point a découvert que des milliers de personnes dans le monde ont installé les applications vérolées de Nitrokod. Les internautes de onze pays différents, dont l’Allemagne, le Royaume-Uni et les États-Unis, sont tombés dans le piège du pirate.
Pour propager XMRig, les pirates ont proposé leurs applications infectées sur des sites web populaires, comme Softpedia et uptodown. Sur Softpedia, la version factice de Google Traduction cumule plus de 112 000 téléchargements. C’est révélateur de l’ampleur de l’opération.
Le moteur de recherche Google a par ailleurs accéléré la propagation du malware. Comme le souligne Maya Horowitz, vice-présidente de la recherche chez Check Point, les programmes de Nitrokod sont mis en avant par les recherches Google.
Quand vous tapez « Google Translate Desktop download » dans la barre de recherche, l’un des premiers résultats relaie en effet vers le site web de Nitrokod. Au moment où cet article est écrit, il s’agit toujours d’un des premiers résultats mis en avant. Dans ces conditions, il n’est pas étonnant que de nombreux internautes soient tombés dans le piège. Par précaution, Check Point recommande de télécharger des logiciels provenant uniquement de « fournisseurs connus ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : CheckPoint
