Comment piéger les influenceurs, ces vidéastes ou blogueurs aux milliers d’abonnés sur les réseaux sociaux ? Les cybercriminels ont leur réponse : avec de faux partenariats. Marty, Youtubeur à plus de 57 000 abonnés, en a fait la douloureuse expérience en juillet 2020. Pendant deux semaines, il a perdu le contrôle de sa précieuse chaîne, qu’il alimente depuis 2016. Ses vidéos n’apparaissaient plus, la chaîne avait été renommée, et les voleurs s’en servaient pour diffuser une arnaque au bitcoin. Après une période de stress intense pour le vidéaste, qui pensait avoir tout perdu, les équipes de YouTube ont pu lui restituer l’accès au compte. Les hackers n’avaient pas supprimé ses vidéos, et s’il a perdu quelques milliers d’abonnés dans l’incident, il s’en est finalement tiré à moindres frais.
Marty a cliqué sur le mauvais fichier : il pensait télécharger un logiciel de montage sur son PC, mais il a en réalité téléchargé un malware. Pourtant, le vidéaste avait au préalable échangé plusieurs emails avec une prétendue chargée de partenariat de ce logiciel de montage, et même négocié le montant de sa rémunération. Un fonctionnement habituel pour lui, qui lui permettait à l’époque de s’équiper en matériel de tournage. Aujourd’hui, ces partenariats lui permettent de vivre de YouTube, et d’en faire son activité à plein temps.
Le YouTubeur Marty s’était fait pirater sa chaîne fin juin 2020. // Source : Marty/YouTube
Remis de sa mésaventure, le Youtubeur veut en savoir plus sur ce qu’il lui est arrivé. Désormais vigilant dans le tri des demandes de partenariat qui lui sont envoyées, il a pu distinguer d’autres propositions frauduleuses, qu’il a transmises à Cyberguerre.
RAT, le malware total
Marty a fait croire qu’il mordait à l’hameçon tendu par une nouvelle (fausse) chargée de partenariat. Il a joué aux dupes jusqu’à ce qu’elle lui communique un lien Google Drive, protégé par un mot de passe. À l’intérieur se trouvait un lien de téléchargement vers le contrat à signer pour, supposément, acter le partenariat. Cette fois, les malfrats se faisaient passer pour HyperX, une marque de casques-micros prisée par les adeptes de jeux vidéo. C’est le signe qu’ils avaient bien préparé leur coup : HyperX pourrait de façon tout à fait cohérente proposer un partenariat à une chaîne spécialisée en produits tech comme celle de Marty.
Le fichier du contrat présentait tout de même deux détails particulièrement louches : il pesait 700 Mo, un poids bien trop élevé pour un fichier censé contenir uniquement du texte, et surtout, il finissait par l’extension « .pdf.exe ». Autrement dit, il était possible de déceler qu’il s’agissait d’un exécutable, un script destiné à faire des modifications sur le PC, et non d’un fichier texte. Mais puisque les malfaiteurs avaient pris le soin de personnaliser le titre du document, « HyperX Contract with the YouTube channel Marty », l’illusion aurait pu fonctionner.
Premier étape : récupérer le compte YouTube
Nous avons transmis ce fichier à l’entreprise de cybersécurité F5, qui l’a fait analyser par ses équipes. Il ne leur a pas fallu longtemps pour poser leur diagnostic : le faux contrat cachait un « Remote Administration Tool » ou RAT, un malware particulièrement virulent, capable, in fine, de prendre le contrôle intégral du PC de la victime.
Matthieu Dierick, expert en cybersécurité des applications chez F5, a précisé son fonctionnement à Cyberguerre : « Ce type de RAT s’attaque à un programme, écrase son code source, et le remplace par une copie malveillante ». Autrement dit, le malware va discrètement remplacer les programmes de l’ordinateur de la victime (le navigateur internet, par exemple) par des copies malveillantes contrôlées par les hackers. Grâce à ce mode opératoire, l’ordinateur considèrera les programmes comme légitimes, et ne s’en inquiétera pas. Pire, le RAT va jusqu’à créer des programmes pour protéger les programmes malveillants qu’il installe.
Les pirates peuvent contrôler le RAT à distance, depuis chez eux. // Source : Louise Audry pour Numerama
Les malfrats pilotent le RAT à distance, depuis leur serveur de « commande and control » ou « C&C », un ordinateur qui leur sert de panneau de commande pour tous les appareils infectés. Leur objectif immédiat, quand ils s’attaquent à un Youtubeur, est de dérober sa chaîne : ils doivent donc accéder à son compte Google. Matthieu Dierick n’a pas pu voir le malware en action sur ce point précis, mais il a une théorie sur la méthode employée : « les malfaiteurs ont dû passer par la session d’utilisateur. Ils peuvent, grâce au RAT, récupérer les cookies dans le navigateur puis le dupliquer. »
Concrètement, ils auraient créé une copie du navigateur avec les mêmes cookies, qui leur permet de se connecter au compte Google de leur victime sans s’identifier. Pour Google, c’est comme s’ils se connectaient sur une session déjà ouverte, une session où l’utilisateur aurait déjà renseigné ses identifiants, et même le code de l’authentification à double facteur.
Une fois qu’ils ont récupéré le compte YouTube, les hackers peuvent l’exploiter eux-mêmes, ou décider de revendre les accès à d’autres cybercriminels. Tout un écosystème de revente s’est constitué autour de ces vols de comptes. En bout de chaîne, sur Instagram ou certains forums, il est possible à n’importe qui de les acheter (illégalement).
Pourquoi le malware n’est pas détecté ?
Lors de sa mésaventure, Marty s’était étonné que son antivirus n’ait pas bloqué le malware. « Les antivirus ne bloquent pas systématiquement les RAT, car ils ne connaissent pas tous les variants », développe Matthieu Dierick. « Ici, on se trouve face à la souche RunPE, très connue, mais dans une variante légèrement différente des précédentes. »
Pour détecter un malware, les antivirus cherchent le « hash » du fichier (une séquence de caractères définie à partir de son code) dans leur base de données, régulièrement mise à jour avec les derniers virus découverts. Le problème, c’est qu’il suffit d’une petite modification dans le code du malware pour que son hash change entièrement. Les malfrats connaissent ce fonctionnement et s’adaptent en conséquence : ils clonent les logiciels malveillants qui servent leurs objectifs, puis les modifient légèrement, plus par volonté de discrétion que par vrai souci d’efficacité.
Le RAT est volontairement trop gros
Afin de découvrir les nouveaux variants, les entreprises de cybersécurité utilisent donc des « sandbox », des systèmes qui leur permettent de garder le malware en captivité. Les logiciels malveillants vont s’y déployer en pensant qu’il s’agit de l’ordinateur d’une victime, et les entreprises de sécurité vont pouvoir observer leur comportement. C’est ici que le malware reçu par Cyberguerre se distingue : d’après les experts de F5, son poids (700 Mo) est trop important pour entrer dans la majorité des sandbox ce qui lui permet de passer outre la plupart des pièges qui lui sont tendus. Le meilleur moyen pour les antivirus d’intégrer le malware reçu par Marty à leur base est donc de recevoir un signalement, et de l’analyser manuellement, ce qui signifie qu’au moins une victime n’a pas été protégée.
La menace de l’ordinateur zombie
La seule solution pour se débarrasser du RAT est de réinitialiser entièrement son ordinateur, sinon le RAT parviendra toujours à se réinstaller. Et pour cause : il suffit qu’un seul programme infecté survive pour qu’il réinstalle tous les autres. Matthieu Dierick précise qu’il n’est pas possible de restaurer sa session à partir d’une copie du système, car les données de cette copie seront aussi compromises par le RAT.
Et attention, si la victime ne nettoie pas correctement son PC, son calvaire peut s’étendre bien plus loin que la seule perte de son compte YouTube. Grâce aux RAT, les cybercriminels ont un contrôle intégral sur l’ordinateur de leur victime, au point qu’on le considère comme un « ordinateur zombie », précise l’expert de F5. Depuis leur serveur C&C, les malfrats vont pouvoir lancer la même commande sur tous les ordinateurs infectés, et ainsi piloter des opérations de masse.
C’est ainsi que sont constitué les botnets, ces fameux ensembles de milliers machines zombies, coordonnées depuis une poignée de serveurs de commande. Les propriétaires des serveurs C&C vendront l’utilisation du botnet (et donc, du PC de l’influenceur infecté) à d’autres cybercriminels. DDoS, campagne de phishing, cryptomining : nommez votre méfait, un botnet peut le lancer. À titre d’exemple, le plus célèbre des botnets, Emotet, se servait de son réseau pour diffuser des campagnes de phishing, ainsi qu’un malware, dans le simple but de récupérer des identifiants. Ces identifiants étaient ensuite revendus à des gangs rançongiciels, qui les exploitaient pour lancer leurs attaques. Tout ça, à cause d’un simple faux partenariat…
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
