Un malware sous « DarkComet » s’est glissé dans une photo liée au populaire hashtag #JeSuisCharlie. Le logiciel malveillant, difficilement détectable, pourrait avoir déjà infecté des centaines de milliers d’ordinateurs, compte tenu de l’importance du sujet qui est d’actualité mondiale. Les informaticiens ignorent les auteurs de cette attaque, qui semble viser surtout les internautes français. Mais personne n’est à l’abri.
Le site français, « informaticien.com », rapporte que jamais un sujet d’actualité n’a été aussi « viral ». C’est l’éditeur de sécurité « Blue Coat » qui aurait découvert le malware exploitant le slogan « Je suis Charlie », qui a été un des hashtag les plus populaires sur Twitter ces dernières semaines.
Le programme malveillant, selon la même source, vient du tristement célèbre « DarkComet RAT » (encore appelé « Fynloski »), qui est à la fois cheval de Troie et outil d’administration à distance.
Attention aux clics sur certaines photos…
Le hacker français DarkCoderSc, à l’origine de la création de ce programme (NDLR : DarkComet), lui, aurait cessé le développement du malware depuis 2012.
Les informaticiens, qui ont découvert le virus, ignorent jusqu’à l’heure comment le programme se répand. D’après d’autres sources, le modus operandi classique, qui semble être celui du malware en question consiste par exemple en une image représentée par un nouveau-né affublé d’un bracelet « Je suis Charlie ».
L’image représentée par un nouveau-né affublé d’un bracelet « Je suis Charlie » (Capture d’écran-Informaticien.com)
Le scénario est si simple et trompeur qu’il peut passer inaperçu
Associée à une action dans un mail, l’internaute peut cliquer sur l’image qui ouvre, à son insu, une page web cryptée. Le virus DarkComet installe alors un clone renommé « svchost.exe » (processus Windows permettant l’exécution de certaines fonctions) dans le système.
Afin de tromper l’internaute, un pop-up (une sorte de fenêtre) s’affiche annonçant que le fichier a été créé dans une version antérieure de « MovieMaker » et qu’il ne peut être ouvert. Dès ce moment, il se trouve que l’ordinateur de l’internaute est déjà bel et bien infecté.
Un virus difficile à tracer…
Le virus serait en fait enveloppé dans un « emballage » .NET, ce qui le rend indétectable et difficile à tracer les auteurs. De plus, l’hôte « Command and Control » est un sous-domaine de No-IP, un service d’adresses IP dynamique et « fréquemment utilisé par des acteurs malveillants », selon l’éditeur de sécurité BlueCoat. L’adresse du domaine « snakes63.no-ip.org », au moment de l’enquête, renvoyait vers une adresse IP associée à l’opérateur de téléphonie « Orange ».
Pour BlueCoat, qui a averti les autorités françaises, il est fort probable que le programme malveillant cible les internautes francophones. En attestent le message d’erreur en français et l’adresse IP. Alors que des hackers se revendiquent soit d’Anonymous ou d’organisations islamistes radicales, en se livrant à des guerres numériques.
Noufou KINDO
Burkina24
