Le site Dr Web, spécialisé en cybersécurité, a découvert début mars un logiciel malveillant. Il se présente sous la forme d’un lien hypertexte dans les commentaires YouTube. Le malware dérobe des données confidentielles, notamment les cookies sur certains navigateurs. Chrome, Vivaldi et Opera sont particulièrement visés.
Evitez de cliquer n’importe comment sur YouTube ! Un nouveau logiciel malveillant se répand depuis le 11 mars dernier dans les commentaires. Il prend la forme d’un simple lien hypertexte, alertent les experts en cybersécurité du site Dr Web. Le programme a été écrit en langage Python, pour infecter les machines qui tournent sous Microsoft Windows.
Les utilisateurs de Firefox épargnés
Ce logiciel voleur de données personnelles a été baptisé Trojan.PWS.Stealer.23012. Il récolte en priorité les cookies, logins et autres mots de passe enregistrés sur les navigateurs. Le malware récupère ensuite toutes les captures d’écran. Puis il fait enfin main basse sur les fichiers du bureau, en ciblant les extensions.
Tous les formats « .txt », « .pdf », « .jpg », « .png », « .xls », « .doc », « .docx », « sqlite », « db », « sqlite3 », « .bak », « sql » et « .xml » deviennent vulnérables. Le malware vise en priorité les navigateurs Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo et Torch. Pour l’instant, les utilisateurs de Firefox semblent épargnés.
Un nouveau malware se propage à travers YouTube: Doctor Web alerte sur la propagation d'un malware qui vole des fichiers et des données confidentielles. La fuite de ce type de données peut donner aux pirates accès aux comptes de leurs victimes dans les… https://t.co/MjBy7Fpn0c
— Magazine Programmez! (@progmag) March 26, 2018
Des vidéos pour tricher aux jeux vidéo
Pour piéger leurs victimes, les pirates postent notamment leurs liens vérolés sous des vidéos « dédiées à l’utilisation de méthodes frauduleuses (dites « cheat ») pouvant aider à gagner dans des jeux vidéo en utilisant des applications spécialisées », rapporte Programmez. Les internautes pensent acquérir ce type d’application, ou un utilitaire pour l’installer.
Ils sont en fait redirigés vers un fichier « Yandex.Disk » pour télécharger une archive RAR auto extractible, laquelle contient le cheval de Troie. Le malware compile toutes les données volées dans le dossier C:/PG148892HQ8. Ces éléments sont ensuite envoyés sur le serveur des pirates dans un fichier « spam.zip »… Avec en prime, la géolocalisation de la machine contaminée !
