Les chercheurs de Microsoft viennent de lever le voile sur une vaste campagne malveillante, active au moins depuis mars 2026. L’offensive débute par une simple recherche en ligne. Elle vise les internautes qui recherchent des logiciels populaires à télécharger sur Internet. Il tape alors « télécharger HWMonitor », « CrystalDiskInfo gratuit » ou « FurMark download » dans Google ou Bing.
Méfiez-vous des moteurs de recherche et de l’IA
Dans les résultats mis en avant par le moteur de recherche, l’internaute va tomber sur des sites malveillants, mis en avant dans les résultats. En amont de l’attaque, les pirates ont optimisé le référencement de leurs faux sites pour les faire remonter en tête des résultats. Même logo, même mise en page, même bouton de téléchargement… Ces pages sont des copies quasi parfaites des sites officiels. Depuis mars 2026, Microsoft a recensé plus de 150 domaines malveillants ayant inondé les moteurs de recherche.
Ce n’est pas la seule méthode de propagation. En avril 2026, des chatbots se sont mis à générer des liens pointant vers des domaines malveillants contrôlés par les pirates. Les chatbots répondaient à des utilisateurs qui demandaient comment télécharger un logiciel en particulier. L’IA génère ses réponses en s’appuyant sur des sources indexées sur le web. Si un faux site est suffisamment bien référencé et crédible aux yeux du modèle, celui-ci peut le recommander en toute bonne foi, sans savoir qu’il est malveillant. En manipulant les résultats de recherche, les cybercriminels manipulent aussi les chatbots. Microsoft ajoute qu’il ne s’agit pas d’un « problème systémique avec un service IA spécifique ».
À lire aussi : Ce botnet russe se croyait indestructible, mais il vient d’être détruit
Une intrusion discrète sur le système
Sans se douter de la supercherie, les internautes vont cliquer sur le site et installer le logiciel qu’ils recherchent. Ils reçoivent alors une archive ZIP, qui renferme une version entièrement fonctionnelle du logiciel. De facto, l’internaute n’a aucune raison de se méfier. C’est ce détail qui rend l’attaque particulièrement redoutable et pernicieuse.
Dans l’archive ZIP, on trouve un fichier DLL (Dynamic Link Library) malveillant. Au moment où l’utilisateur lance le fichier d’installation, celui-ci charge automatiquement le fichier malveillant. Le fichier va rapidement télécharger et installer ScreenConnect, un outil d’administration à distance parfaitement légitime, très répandu dans les entreprises. Les pirates détournent ainsi ce logiciel légitime pour passer sous les radars. En communiquant par le biais de ScreenConnect, ils prennent le contrôle complet de la machine, à l’insu de l’usager.
A lire aussi : Google a divulgué une faille de sécurité par erreur, votre navigateur est sûrement en danger
Du minage de cryptos qui passe sous le radar
Les pirates déposent un programme malveillant qui va d’abord lancer un programme Windows tout à fait normal. Ensuite, le logiciel va vider le contenu en mémoire et le remplacer par le code de minage. Ce code est capable de miner des cryptomonnaies en exploitant la puissance de la carte graphique de votre ordinateur. Le processus continue de tourner, mais il fait désormais le travail des pirates.
Le malware télécharge ensuite l’un des trois outils de minage GPU qu’il supporte, à savoir gminer, lolMiner ou SRBMiner-MULTI. Sans se faire repérer, les hackers se mettent à s’enrichir sur le dos des victimes. Tandis que les criminels récoltent des cryptos, les performances de l’ordinateur se mettent à désirer. C’est également le cas de l’autonomie, massivement pénalisée par le minage.
Toutefois, les attaquants ont prévu un mécanisme pour rester discrets. Le programme surveille en effet en permanence l’activité du GPU. Si l’utilisateur joue à un jeu ou lance une application graphique intensive, le minage s’arrête automatiquement. La victime ne remarque donc aucun ralentissement notable dans son usage quotidien.
Un virus persistant
Pour s’assurer que le virus survive à un redémarrage, une mise à jour ou même une tentative de nettoyage, les pirates ont installé six mécanismes de persistance simultanés, dont trois tâches planifiées au sein de Windows. Toutes les cinq secondes, le malware vérifie que chacun de ces mécanismes est intact et les restaure immédiatement s’ils ont été supprimés. Il s’exclut aussi de la liste des applications surveillées par Microsoft Defender, l’antivirus par défaut de Windows.
Microsoft insiste sur le fait que cette infrastructure ne sert pas seulement à miner des cryptomonnaies. L’accès à distance via ScreenConnect pourrait être réutilisé à tout moment pour voler des données personnelles, se propager dans un réseau d’entreprise ou déployer un ransomware. Pour se protéger, la règle d’or reste de ne jamais télécharger un logiciel depuis un site non officiel, de vérifier l’URL avant tout téléchargement, et de ne pas faire confiance aveuglément aux recommandations d’un chatbot IA.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Microsoft
