Cet article est une traduction de l’article « DISSECTING THE “FREE L$” VIEWER SCAM – CHASER ZAKS » du blog INARA PEY: LIVING IN A MODEMWORLD avec la permission de l’autrice.
Ces derniers jours, des nouvelles ont circulé concernant ce qui est vraisemblablement une escroquerie à la visionneuse. L’article en question est « promu » au moyen d’un message instantané circulant parmi les utilisateurs et promettant toutes sortes de bonnes choses et d’avantages : des dollars Linden gratuits ! Liberté de construire où bon vous semble ! Et ainsi de suite.
La plupart des utilisateurs expérimentés sont un peu trop avisés pour se laisser berner par de telles promesses – et l’IM a apparemment donné lieu à un certain nombre de rapports d’abus, avec des avertissements supplémentaires diffusés via les médias sociaux. Cependant, ceux qui ne sont pas habitués à ce genre de stratagèmes pourraient être tentés par des promesses de L$ gratuits et autres, et d’autres pourraient être tentés de « faire un essai rapide » pour « voir de quoi il s’agit » – ce qui ne serait pas particulièrement judicieux, car la « visionneuse » en question fait bien plus que ce que l’on pourrait soupçonner au premier abord.
Pour découvrir les menaces que représente la « visionneuse » en question, le programmeur et chasseur de bogues de Firestorm (mais aussi animateur et modélisateur) Chaser Zaks a pris le risque de jeter un coup d’œil sous la surface du code fourni, et a publié ses conclusions sur les Gists de Github. Afin d’aider (je l’espère) à faire passer le message plus généralement, j’ai demandé à Chaser si je pouvais reproduire ses notes ici, ce qu’il a accepté.
Dans son document, Chaser présente clairement les affirmations principales de la » visionneuse » avant de les démonter et de décrire les menaces que son installation entraîne. Pour faciliter la lecture, je résumerai dans le tableau ci-dessous les réalités qui se cachent derrière les affirmations de la » visionneuse » avec mes propres mots, puis je passerai directement aux notes de Chaser sur les menaces que représente la » visionneuse « , si elle est installée sur un ordinateur.
Réalité des promesses
Débloquer un nombre illimité de Linden Dollars (L$) Ce n’est pas possible. Les Linden Dollars sont créés et contrôlés par Linden Lab par le biais du mécanisme LindeX, qui ne fait pas partie de la visionneuse. Par conséquent, toute affirmation selon laquelle il est possible d’accéder à des Linden Dollars illimités ou de les générer en dehors de ce mécanisme constitue un délit de fraude et une violation des Conditions d’utilisation et (entre autres) de la loi fédérale américaine. En outre, Linden Lab a la capacité d’identifier et de suivre immédiatement les transactions frauduleuses – et de prendre des mesures (pouvant aller jusqu’à l’interdiction des comptes qui se livrent à de telles transactions), ainsi que de signaler ces activités aux autorités compétentes.
La Lab peut également identifier et bloquer les visionneuses malveillantes (et prendre des mesures à l’encontre des comptes utilisant de telles visionneuses).
Voler à des hauteurs illimitées C’est déjà possible ; Linden Lab a supprimé la limite de vol à n’importe quelle altitude il y a un certain temps, et la plupart des visionneuses tierces permettent aux utilisateurs de voler aussi haut qu’ils le souhaitent ( Construire, cependant, reste limité à moins de 4096 mètres – mais c’est un autre sujet).
Construire sur n’importe quel terrain Impossible ; les permissions des terrains sont vérifiées par le simulateur, pas par la visionneuse et les permissions définies par le propriétaire d’un terrain quant à ce qui peut ou ne peut pas être fait sur son terrain ne peuvent pas être remplacées.
Pour le reste, je me réfère directement aux notes de Chaser.
QUE FAIT-IL EN RÉALITÉ ?
Beaucoup de choses que vous ne voulez pas voir se produire. Je vais le décomposer en plusieurs étapes :
Il vous est demandé de télécharger viewer.exe, qui, une fois exécuté, prétend installer une visionneuse afin de donner l’impression d’être légitime.
Lorsque le programme nouvellement installé est exécuté, il lance le fichier builddata.bat.
Ce script élève les autorisations au niveau des droits d’administrateur sur votre ordinateur ! C’est extrêmement dangereux, car cela permet à tout ce qui est exécuté de faire ce qu’il veut. Plus précisément, ce script téléchargera et exécutera les fichiers appelés « V1 », « Q » et « A »
« V1 », installera les fichiers « 1 » et « 2 »
Le « 1 » est Trojan.CobaltStrike, qui est une boîte à outils de test de pénétration dont les cybercriminels abusent souvent pour effectuer des accès administratifs à distance.
« 2 » installera Trojan.Molotov/Reflo. Bien que je ne sois pas sûr à 100 % de ce qu’il fait, il s’agit très probablement d’une autre boîte à outils d’administration à distance.
« Q » installera Quasar, qui est également une boîte à outils d’administration à distance.
« A » installera AsyncRAT, qui est également une boîte à outils d’administration à distance.
Certaines de ces boîtes à outils installent automatiquement des éléments supplémentaires qui ne sont pas inclus dans le script, tels qu’un cryptomineur.
Le script exécute start.vbs – qui affiche une fausse boîte de dialogue indiquant qu’il y a eu une erreur.
POURQUOI TANT DE BOÎTES À OUTILS POUR L’ADMINISTRATION À DISTANCE ?
Les attaquants installent intentionnellement autant de portes dérobées que possible afin qu’il devienne de plus en plus difficile de le supprimer, si bien que vous devrez probablement effacer votre disque dur et réinstaller votre système d’exploitation.
QUE FAIT UNE BOÎTE À OUTILS D’ADMINISTRATION À DISTANCE ?
Une boîte à outils d’administration à distance (également connue sous le nom de RAT) revient à donner à quelqu’un un accès physique à votre ordinateur. Ils peuvent, entre autres, faire ce qui suit :
Voler votre nom d’utilisateur / vos mots de passe
Voler les cookies de votre navigateur
Voler vos fichiers
Voler vos informations bancaires
Volez vos L$
Voler votre argent du MONDE RÉEL (par le biais d’une fraude au crédit, à la banque ou à la transaction bancaire)
Afficher votre webcam et prendre des photos/vidéos
Afficher votre bureau
Installer des logiciels supplémentaires
Crypter vos fichiers
Supprimer vos fichiers
QUE FAIT UN CRYPTOMINEUR ?
Un cryptomineur abuse de votre GPU pour miner des crypto-monnaies telles que le bitcoin. Cela gaspille de l’électricité, de la puissance de calcul et dégrade également votre carte graphique. Et vous ne voyez pas un centime de ce qu’ils gagnent. Il s’agit en fait de transformer votre ordinateur en esclave minier.
EST-CE QU’IL INSTALLE AUTRE CHOSE ?
Oui et non :
Non : le script lui-même n’installe rien d’autre.
Oui : cependant, lorsque chacun des outils d’administration à distance est installé, il envoie un ping au serveur, qui peut alors demander à l’outil d’installer encore plus de choses.
Je pourrais certes mener une enquête plus approfondie, mais cela impliquerait d’aller plus loin que je ne me sens raisonnablement sûr de pouvoir faire sans trop de risques.
AU SECOURS ! JE L’AI INSTALLÉ ! QUE DOIS-JE FAIRE ?
Éteignez immédiatement l’ordinateur sur lequel vous avez installé le logiciel ! Si l’ordinateur est éteint, ils ne peuvent pas y accéder. Veillez à ne pas le mettre en état de « veille », c’est-à-dire que l’unité centrale continue à fonctionner dans un mode à faible consommation d’énergie, assurez-vous qu’il est éteint !
Confiez votre appareil à un technicien informatique spécialisé dans la suppression des virus et des logiciels malveillants. Préparez-vous à devoir sauvegarder vos fichiers et à réinstaller votre système.
Ne soyez pas tenté de l’utiliser tant qu’il n’est pas nettoyé ! Les logiciels malveillants peuvent se propager sur les réseaux internes, et chaque fois qu’ils sont activés, le pirate informatique a une chance de vous voler des données, voire davantage !
NOTES DE CONCLUSION (DE INARA)
Les » visionneuses » comme celle-ci ne sont pas un phénomène nouveau, bien qu’elles ne soient pas toutes aussi ouvertement suspectes en termes d’affirmations initiales que cet exemple particulier. Certaines sont extrêmement subtiles et cherchent à inciter les utilisateurs à les télécharger (par exemple en usurpant l’adresse de téléchargement authentique d’une manière qui donne l’impression que vous allez sur le site web officiel alors que ce n’est pas le cas). C’est pourquoi, lorsqu’il s’agit d’installer des visionneuses :
Tenez-vous en à des visionneuses reconnues telles que la visionneuse officielle de Second Life ou celles listées dans le Third Party Viewer Directory du Lab.
Bien que ces derniers soient auto-certifiés et non validés directement par le Lab, le fait qu’ils se soient inscrits dans le répertoire signifie généralement qu’ils sont régulièrement mis à jour, ce qui garantit leur stabilité, leur sécurité et leur compatibilité avec la plateforme.
Ne téléchargez ces visionneuses que directement à partir de leurs sites web « officiels ». N’utilisez pas les liens fournis par des messages instantanés ou des notices envoyées au hasard, et vérifiez soigneusement les liens fournis par d’autres sites web et blogs (même ce blog !) pour vous assurer qu’ils pointent vers une page de téléchargement valide pour une visionneuse.
Si vous êtes sur X (ou, comme la plupart d’entre nous – et assez souvent, la plateforme elle-même – le préfèrent encore, sur « Twitter »), suivez Soft Linden pour obtenir des nouvelles et des informations sur la lutte contre les logiciels malveillants en général.
Surveillez les forums de Second Life pour y trouver des avertissements concernant les visionneuses malveillantes, etc. Ces avertissements peuvent être publiés dans le forum général ou dans le forum sur la technologie.
Je remercie Chaser Zaks de m’avoir permis de reproduire son travail ici et d’avoir enquêté sur la « visionneuse » en question ; je remercie également Soft Linden de m’avoir orienté vers le document Github de Chaser. Ne manquez pas de lire ce dernier, car il contient également des extraits de code pour ceux qui s’intéressent à des aspects plus techniques…