Flash Player : la version chinoise survivante se comporte en adware

La page Flash Player a été largement tournée avec la fin de support par Adobe qui bloque par ailleurs l'exécution du contenu Flash. Il y a toutefois une exception en Chine qui est le seul pays au monde où Flash Player demeure encore officiellement disponible via un distributeur qui était un partenaire d'Adobe.

Selon un rapport de Minerva Labs publié en début de mois, ses produits de sécurité ont signalé plusieurs alertes en rapport avec la version chinoise de Flash Player. Des plaintes avaient également été remontées sur le site d'Adobe.

Une analyse a ainsi été menée sur un exécutable FlashHelperService.exe et un fichier signé par Zhong Cheng Network qui est un distributeur autorisé par Adobe en Chine.

Minerva Labs a mis au jour un fichier DLL du nom de nt.dll qui est chargé dans FlashHelperService pour ouvrir le navigateur avec un popup à des intervalles de temps prédéfinis. Le groupe Talos de Cisco avait déjà évoqué FlashHelperService.exe en tant que menace.

" Le code utilise la fonction ShellExecuteW de l'API Windows pour ouvrir Internet Explorer avec une URL extraite d'un autre fichier JSON chiffré (ndlr : JavaScript Object Notation File). " Minerva Labs arrive à la conclusion d'un comportement d'adware, tout en mettant en garde avec le risque d'une dérive plus malveillante.