Quand une clé de produit Windows devient une rançon

Génération NT / Actualités / Quand une clé de produit Windows devient une rançon

Publié le 27 mai 2016 à 16:17 par Jérôme G.

Une fausse mise jour Windows incite des utilisateurs à payer pour une clé de produit tout aussi fausse. Des vrais cybercriminels à la baguette avec un vrai malware.

Les cybercriminels ne sont jamais à court d'idées. Sans réinventer la roue pour monter des arnaques, ils ont trouvé matière à inspiration dans les ransomwares pour moderniser une tactique visant à extorquer des utilisateurs pris pour cible.

Les fenêtres de type pop-up dans le navigateur et imitant de soi-disant mises à jour Windows qui plantent, voire un prétendu écran bleu de la mort, ne sont pas une nouveauté. C'est toutefois bel et bien un malware qui sévit derrière cette fausse mise à jour Windows.

Le malware est distribué via une fausse version de Flash Player ou du logiciel PC optimizer. Après redémarrage de la machine, il affiche un écran de mise à jour à l'apparence familière, puis un autre écran avec un message pour attirer l'attention sur une clé de produit non valide.

Il n'est pas possible de se débarrasser de cet écran avec les raccourcis clavier usuels tels que Alt + F4 ou d'autres astuces. Tout est fait de manière à ce que la seule échappatoire possible semble être d'appeler un support technique qui sera tout aussi faux.

Malwarebytes Labs a tenté l'expérience avec le numéro de téléphone indiqué. Au bout du fil, un prétendu technicien Microsoft qui propose de lancer une fonctionnalité cachée avec Ctrl + Shift + T. C'est alors une fenêtre pour un contrôle à distance avec TeamViewer qui apparaît. Avant d'aller plus loin, le technicien devient maître chanteur en demandant la somme de 250 $ pour déverrouiller l'ordinateur.

À ce stade, Malwarebytes Labs a arrêté de jouer les candides. Il a été découvert que les auteurs du malware ont codé en dur le raccourci clavier Ctrl + Shift + S et trois " clés de produit " permettant de retrouver l'usage de la machine : h7c9-7c67-jb, g6r-qrp6-h2 ou yt-mq-6w.

Cela ne fera pas forcément mouche avec toutes les instances du malware qui est heureusement identifié par des solutions de sécurité à jour. Un chercheur de Malwarebytes Labs s'inquiète cependant d'une nouvelle tendance pour les cybercriminels. En l'occurrence, elle est beaucoup plus nocive que les fausses alertes via les navigateurs.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Lire les commentaires