Un spambot vise les clients d’Orange en France

Publié le

Si vous êtes habitués à consulter notre site, vous n’êtes pas sans savoir que les attaques de pirates par mail sont nombreuses. Il semblerait cependant que la dernière en date ne soit distribuée qu’en France et plus particulièrement au sein des clients de l’opérateur Orange.

Découvert par les chercheurs d’ESET en mai 2019, cette nouvelle menace porte le nom de Varenyky. Ce logiciel malveillant cible les utilisateurs du fournisseur d’accès Orange de deux façons différentes : la première via une fausse promotion pour un smartphone dernier cri, la seconde grâce à une tentative de sextorsion.

Ses principaux atouts : être particulièrement bien rédigé en français (ce qui est assez rare, la plupart des pirates se contentant d’utiliser des outils de traduction approximatifs), pouvoir voler des mots de passe et surtout espionner l’écran d’un utilisateur ainsi que le contenu de sa webcam.

Apparition et téléchargement

La première apparition semble remonter à mai 2019. La première preuve de son existence date cependant du 3 juin :

Le mail prend la forme d’un paiement avec une facture en pièce jointe. Ces deux éléments sont plutôt bien écrits et laissent croire aux destinataires qu’il s’agit réellement d’une facture lui étant adressée. Le document exige une vérification humaine qui demande au destinataire d’activer les macros. Il s’agit évidemment d’une façon pour le logiciel malveillant d’être “accepté” par sa victime puis téléchargé à son insu.

La macro dispose d’une fonction permettant de connaître la nationalité de sa victime. Ainsi, elle ne s’en prendra qu’à une personne française, et ce, afin de contaminer une petite portion de victimes et éviter d’attirer trop l’attention.

Comportement et infection

Une fois installé sur votre ordinateur, Varenyky va se comporter de deux façons comme précisé plus haut. Sa première mission est de vous envoyer des spams sur votre boite mail, sa seconde, d’exécuter des commandes diverses sur votre ordinateur.

Cette dernière action est certainement la plus dangereuse. Elle va tout d’abord utiliser les outils “WebBrowserPassView” et “Mail PassView” ce qui lui permettra de récupérer vos mots de passe utilisés sur des sites internet et webmails . Une fois ces données envoyées sur un serveur, le logiciel va créer un deuxième bureau caché sur la machine de la victime pour y accomplir diverses tâches comment naviguer dans son ordinateur, prendre des captures d’écrans, etc…

Parmi les commandes intégrées au code malveillant, une fonction permettant de repérer plusieurs mots ou sites en rapport avec le sexe. Dès lors qu’un de ces mots est repéré, Varenyky commence à enregistrer l’écran de l’ordinateur ainsi que sa webcam.

Vous vous en doutez, le pirate responsable du logiciel va alors garder toutes ces données pour vous faire chanter par la suite. C’est ce que l’on appelle “une arnaque de sextorsion”. Vous recevrez alors un courrier de votre propre boite mail (dont le mot de passe a été piratée, rappelons-le) vous indiquant qu’il vous faut régler une certaine somme sous peine de voir vos vidéos et recherches diffusées à votre entourage :

A l’heure où nous écrivons ces lignes, l’adresse Bitcoin enregistrée et comprise dans le mail d’extorsion a déjà reçu quatre paiements (et a déjà été signalée sur le site bitcoinabuse.com). Preuve hélas que Varenyky a déjà fait ses premières victimes.

Résolution et prévention

Nous recommandons toujours à nos lecteurs de faire attention sur ce qu’ils cliquent et téléchargent. N’acceptez jamais de pièces jointes provenant d’un expéditeur inconnu et ne cliquez pas sur un lien si vous avez le moindre doute quand à ce dernier.

Gardez toujours votre ordinateur à jour et munissez-vous du meilleur antivirus ainsi que d’un anti-malware comme MalwareBytes ou un équivalent. Procédez à des scans réguliers et n’hésitez pas à régulièrement faire le ménage sur votre machine.

Découvrez notre comparatif des meilleurs antivirus 2019

Ainsi que notre sélection d’anti-malwares

Source

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet