À une lettre du désastre : un site d’activation Windows typosquatté déploie un malware PowerShell

Lorsqu’une seule lettre peut faire la différence entre un ordinateur fonctionnel et un système compromis, la vigilance n’est plus une option. Cette semaine, une vague d’infections a frappé la communauté Windows après que des utilisateurs cherchant à activer leur système d’exploitation sont accidentellement tombés dans un piège soigneusement élaboré. En se trompant d’un seul caractère dans une commande, des utilisateurs sans méfiance se sont retrouvés non pas avec une activation légitime, mais avec un parasite numérique profondément enraciné dans leur système.

En bref

• Des attaquants ont mis en place un faux domaine, "get.activate[.]win", imitant le site d’activation MAS légitime "get.activated.win".
• La faute de frappe a conduit les utilisateurs à télécharger un malware PowerShell connu sous le nom de Cosmali Loader.
• Les victimes ont signalé des processus PowerShell suspects et des avertissements pop-up sur leur système.
• Cosmali Loader est capable de déployer des cryptomineurs et le cheval de Troie d’accès à distance (RAT) XWorm.
• Des chercheurs en sécurité soupçonnent qu’un hacker bien intentionné a utilisé le panneau de contrôle du malware pour avertir les utilisateurs infectés.

L’attaque repose sur une technique classique des cybercriminels : le typosquatting. Ici, l’omission subtile d’un simple "d" dans le nom de domaine - "get.activate[.]win" au lieu de "get.activated.win" - a suffi à tromper des utilisateurs suivant les instructions des Microsoft Activation Scripts (MAS), un outil open source populaire pour activer Windows et Office.

Des discussions sur Reddit se sont multipliées lorsque les utilisateurs de MAS ont commencé à remarquer des pop-ups signalant une infection par "Cosmali Loader". Le chercheur en sécurité RussianPanda a rapidement remonté ces alertes à un script PowerShell malveillant diffusé depuis le faux domaine. Les capacités du malware sont loin d’être anodines : il installe des utilitaires de cryptominage, transformant les machines des victimes en outils de minage illicite de cryptomonnaies, et déploie XWorm, un RAT notoire qui peut donner aux attaquants un contrôle total sur les systèmes infectés.

Ironiquement, certains utilisateurs ont signalé avoir reçu des avertissements concernant leur propre infection - des messages apparemment diffusés par quelqu’un ayant accédé au panneau de contrôle du malware. Bien que la source de ces avertissements reste incertaine, des experts en sécurité pensent qu’un hacker « white hat » aurait pris le contrôle de l’infrastructure de l’attaquant pour alerter les victimes plutôt que de les exploiter davantage.

Le projet MAS lui-même, bien que largement utilisé, évolue sur une ligne légale et éthique très fine. Hébergé sur GitHub et maintenu par des bénévoles, MAS automatise l’activation de Windows par des moyens non officiels, ce que Microsoft considère comme du piratage. Ce statut fait de MAS et d’outils similaires des cibles fréquentes pour les campagnes de malware, les cybercriminels sachant que leur base d’utilisateurs est souvent prête à exécuter du code non vérifié téléchargé sur Internet.

Les responsables du projet ont exhorté les utilisateurs à vérifier chaque commande, à éviter de retaper des URL de mémoire et à ne jamais exécuter de scripts distants sans comprendre leur fonction. Cet incident rappelle brutalement que même les utilisateurs les plus techniques peuvent être victimes d’une simple faute de frappe, et que les attaquants sont toujours prêts à exploiter l’erreur humaine.

Dans un monde où une faute de frappe peut transformer un outil de confiance en cheval de Troie, la frontière entre commodité et catastrophe n’a jamais été aussi mince. La leçon ? Faites confiance, mais vérifiez - chaque caractère compte.

WIKICROOK

• Typosquatting : Le typosquatting consiste à utiliser des noms ressemblant à ceux de sites ou logiciels de confiance pour tromper les utilisateurs et les inciter à visiter de faux sites ou à télécharger des malwares.
• PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais il est souvent exploité par les attaquants pour mener des actions malveillantes de façon discrète.
• Loader : Un loader est un logiciel malveillant qui installe ou exécute d’autres malwares sur un système infecté, permettant d’autres cyberattaques ou un accès non autorisé.
• Cryptomining : Le cryptominage utilise la puissance de calcul d’un ordinateur pour résoudre des énigmes et gagner des cryptomonnaies, parfois en exploitant des appareils à l’insu ou sans le consentement de leur propriétaire.
• Remote Access Trojan (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet à des attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.