La bourse est fermée
  • CAC 40

    6 553,86
    +9,19 (+0,14 %)
     
  • Euro Stoxx 50

    3 776,81
    +19,76 (+0,53 %)
     
  • Dow Jones

    33 761,05
    +424,38 (+1,27 %)
     
  • EUR/USD

    1,0257
    -0,0068 (-0,66 %)
     
  • Gold future

    1 818,90
    +11,70 (+0,65 %)
     
  • BTC-EUR

    23 957,38
    -234,50 (-0,97 %)
     
  • CMC Crypto 200

    574,64
    +3,36 (+0,59 %)
     
  • Pétrole WTI

    91,88
    -2,46 (-2,61 %)
     
  • DAX

    13 795,85
    +101,34 (+0,74 %)
     
  • FTSE 100

    7 500,89
    +34,98 (+0,47 %)
     
  • Nasdaq

    13 047,19
    +267,27 (+2,09 %)
     
  • S&P 500

    4 280,15
    +72,88 (+1,73 %)
     
  • Nikkei 225

    28 546,98
    +727,65 (+2,62 %)
     
  • HANG SENG

    20 175,62
    +93,19 (+0,46 %)
     
  • GBP/USD

    1,2139
    -0,0064 (-0,52 %)
     

Attention à ce virus qui se cache dans la calculatrice de Windows

L’un des malwares bancaires les plus répandus utilise désormais la calculatrice pour infecter les ordinateurs qui fonctionnent avec Windows. Baptisé Qbot ou Qakbot, il s’agit d’un cheval de Troie bancaire détecté pour la première fois en 2009, et qui a beaucoup évolué depuis. Il peut notamment enregistrer les frappes au clavier et voler mots de passe et informations bancaires.

L’attaque semble être assez ciblée puisqu’elle utilise le thread hijacking, qui s’appuie sur un compte de messagerie compromis. Il reprend les fils de discussions trouvés dans la boîte de réception et y répond avec le malware en pièce jointe. La victime reçoit donc un e-mail d’un expéditeur connu faisant suite à un échange.

La technique s’appuie sur une série de fichiers imbriquées les uns dans les autres comme des poupées russes. La victime reçoit un e-mail avec une pièce jointe au format HTML (page Web). Une fois ouverte, elle télécharge un dossier compressé (.ZIP), affiche un message d’erreur faisant croire à une erreur d’ouverture d’un fichier PDF et demande d’ouvrir le fichier téléchargé en utilisant un mot de passe. Ce dernier permet d’éviter la détection par l’antivirus qui ne pourra pas en analyser le contenu.

Ce fichier HTML est envoyé par e-mail en pièce jointe pour faire croire à un document, mais télécharge le malware Qbot. © BRoxyLife et Cyble
Ce fichier HTML est envoyé par e-mail en pièce jointe pour faire croire à un document, mais télécharge le malware Qbot. © BRoxyLife et Cyble

Une utilisation détournée de la calculatrice

Le dossier compressé contient un fichier ISO qui, une fois ouvert, est monté par le système comme un CD-ROM. Il contient un raccourci (.lnk) dont l’icône a été modifiée pour ressembler à un document PDF ou une page Web. Il contient également trois fichiers cachés : une copie tout à fait ordinaire de la calculatrice (calc.exe) et deux fichiers DLL, WindowsCodecs.dll et un second avec un chiffre aléatoire. Dans l’exemple analysé, il s’agit de 7533.dll.

À partir d’ici, les pirates utilisent une technique appelée sideloading (ou chargement latéral), qui consiste à passer par un programme légitime pour...

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles