Comment supprimer le cheval de Troie d'accès à distance PureHVNC

Quel type de logiciel malveillant est PureHVNC ?

PureHVNC est un cheval de Troie d'accès à distance (RAT). Ce type de logiciel malveillant permet d'accéder à distance aux appareils infectés et de les contrôler. PureHVNC dispose de capacités étendues en matière de vol de données. Ce cheval de Troie s'est propagé via de faux sites web d'IA générative promus sur Facebook. Des preuves solides suggèrent que les cybercriminels à l'origine de ces campagnes sont des locuteurs vietnamiens.

Présentation du logiciel malveillant PureHVNC

PureHVNC s'est propagé via des campagnes publicitaires malveillantes sur Facebook ayant pour thème l'IA (vous trouverez plus d'informations à ce sujet plus loin dans l'article). Cependant, ce cheval de Troie pourrait également être distribué par d'autres méthodes. PureHVNC est un RAT (cheval de Troie d'accès à distance), un programme malveillant conçu pour permettre l'accès et le contrôle à distance des machines.

Le logiciel malveillant s'infiltre dans les systèmes en deux étapes. L'exécutable de première étape lance un chargeur ; plusieurs chargeurs différents ont été rencontrés, la plupart basés sur .NET. De nombreux cas ont été signalés où l'exécutable mettait en œuvre une compilation .NET Ahead-Of-Time (AOT) à des fins d'anti-analyse et d'anti-détection.

La première étape vise à échapper à la détection et à empêcher l'analyse (par exemple, en recherchant des informations relatives aux machines virtuelles, aux environnements sandbox, aux logiciels de sécurité, etc.), à assurer la persistance et à injecter d'autres charges utiles. PureHVNC est la charge utile principale introduite dans la deuxième étape.

Comme mentionné dans l'introduction, ce RAT dispose de nombreuses fonctionnalités de vol de données. Il peut extraire et exfiltrer des informations à partir de navigateurs basés sur Chromium et d'extensions de navigateur (liste complète ci-dessous). Les données ciblées peuvent inclure l'historique de navigation et de recherche, les cookies Internet, les identifiants de connexion, les informations personnelles identifiables, les numéros de carte de crédit/débit, etc.

Le cheval de Troie peut également collecter des données associées aux portefeuilles de cryptomonnaies, aux clients de messagerie électronique et aux messageries instantanées (liste ci-dessous). PureHVNC utilise des plug-ins pour offrir des fonctionnalités supplémentaires. L'un des plug-ins connus utilisés par ce cheval de Troie suit les fenêtres au premier plan et en prend des captures d'écran lorsqu'un mot-clé d'intérêt est détecté. Les mots ciblés concernent principalement les banques, les opérations bancaires et les portefeuilles cryptographiques (liste des mots-clés connus).

En résumé, la présence de logiciels malveillants tels que PureHVNC RAT sur les appareils peut entraîner de multiples infections du système, de graves problèmes de confidentialité, des pertes financières et des usurpations d'identité.

Exemples de chevaux de Troie d'accès à distance

Nous avons étudié de nombreux RAT; CurlBack, ResolverRAT, Neptune, Lilith et Triton ne sont que quelques-uns de nos articles les plus récents. Ces chevaux de Troie peuvent être incroyablement polyvalents et multifonctionnels. Cependant, même les logiciels malveillants aux capacités limitées présentent des dangers importants. De plus, les programmes malveillants sont souvent utilisés en combinaison avec d'autres.

Mais quel que soit le mode de fonctionnement d'un logiciel malveillant, sa présence sur un système menace l'intégrité de l'appareil et la sécurité de l'utilisateur. Par conséquent, toutes les menaces doivent être éliminées immédiatement dès leur détection.

Comment PureHVNC s'est-il infiltré dans mon ordinateur ?

PureHVNC s'est propagé via des campagnes publicitaires malveillantes sur Facebook utilisant des appâts sur le thème de l'IA générative. Plus de soixante-dix publications et plusieurs publicités payantes ont été découvertes sur cette plateforme. Ce contenu faisait la promotion de faux sites web imitant Kling AI, un service d'IA générative développé par Kuaishou Technology.

Les utilisateurs pouvaient télécharger des images sur les sites frauduleux afin de produire une image ou une vidéo générée par l'IA, mais au lieu de télécharger le résultat, ils téléchargeaient un fichier ZIP. Cette archive contenait un fichier exécutable (.exe) dont le type de fichier était dissimulé par un nom de fichier complet rempli de caractères Hangul Filler et une fausse extension MP4 ou JPG.

D'autres méthodes de distribution ne sont pas à exclure. Les techniques de phishing et d'ingénierie sociale sont courantes dans la prolifération des logiciels malveillants. Les logiciels malveillants sont généralement dissimulés dans des fichiers programmes/médias ordinaires ou associés à ceux-ci. Les fichiers infectieux peuvent être des archives (ZIP, RAR, etc.), des fichiers exécutables (.exe, .run, etc.), des documents (PDF, Microsoft Office, Microsoft OneNote, etc.), des fichiers JavaScript, etc.

Les logiciels malveillants se propagent principalement via des chevaux de Troie (chargeurs/portes dérobées), des téléchargements furtifs (discrètes/trompeuses), des pièces jointes ou des liens malveillants dans des courriels/messages indésirables, des escroqueries en ligne, des publicités malveillantes, des canaux de téléchargement douteux (par exemple, des sites web proposant des logiciels gratuits et des sites web tiers, des réseaux de partage P2P, etc.), de fausses mises à jour et des outils d'activation de logiciels illégaux («cracks»).

De plus, certains programmes malveillants peuvent se propager automatiquement via les réseaux locaux et les périphériques de stockage amovibles (par exemple, les disques durs externes, les clés USB, etc.).

Comment éviter l'installation de logiciels malveillants ?

Nous vous recommandons d'être prudent lorsque vous naviguez sur Internet, car celui-ci regorge de contenus trompeurs et malveillants. Les e-mails, messages privés/directs, SMS et autres messages entrants doivent être traités avec prudence. Les pièces jointes ou les liens contenus dans des e-mails suspects/non pertinents ne doivent pas être ouverts, car ils peuvent être infectés.

Nous vous conseillons de ne télécharger que des sources officielles et vérifiées. Nous vous recommandons également d'activer et de mettre à jour vos logiciels à l'aide de fonctions/outils authentiques, car ceux provenant de tiers peuvent contenir des logiciels malveillants.

Il est essentiel d'installer un antivirus réputé et de le maintenir à jour. Des programmes de sécurité doivent être utilisés pour effectuer des analyses régulières du système et supprimer les menaces détectées. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants infiltrés.

Malvertising Facebook utilisé pour promouvoir PureHVNC (source de l'image – Check Point) :

Faux profil Facebook Kling AI utilisé pour promouvoir PureHVNC :

Faux sites web d'IA générative qui incitent les victimes à télécharger PureHVNC :

Exemple 1 :

Exemple 2 :

Navigateurs ciblés par PureHVNC:

7Star, 360Browser, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromodo, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, Privacy, QIP, QQBrowser, Sleipnir5, Sputnik, Surf, Torch, Uran et Vivaldi.

Extensions de navigateur ciblées liées aux cryptomonnaies :

Binance Chain Wallet, BitApp, BitClip, BitKeep, Braavos, Coin98, Coinbase, CONex, Cyano, EQUAL, Exodus, Finnie, Guarda, iWallet, Jaxx, Keeper, Keplr, Liberty, Liquality, Math, MetaMask, MOBOX, Nifty, Phantom, Rabet, Ronin, Solana, Swash, Terra Station, TezBox, TronLink, Trust, Waves Keeper, Wombat, XDCPay, XDEFI, Yoroi et ZilPay.

Extensions de navigateur d'authentification ciblée et de gestion des mots de passe :

Authenticator, Authy, EOS Authenticator, GAuth Authenticator et Trezor Password Manager.

Portefeuilles cryptographiques de bureauciblés:

• Atomic Wallet
• Bitcoin-Qt
• Dash-Qt
• Electrum
• Ethereum
• Exodus
• Jaxx
• Ledger Live
• Litecoin-Qt
• Zcash

Autres logiciels ciblés :

• Foxmail
• Telegram

Mots-clés recherchés par PureHVNC :

ABANCA, atomic wallet, atomicwallet, Banca Agricola Popolare, Banca Monte dei Paschi di Siena, Banca Sella Group, Banco Aliado, Banco Ambrosiano, banco av villas, Banco Azteca, banco bac, Banco BBP, banco bbva, Banco BCT Bank International, Banco Bi-Bank, Banco Caja Social, Banco ctt, Banco da Itália, Banco Davivienda, Banco de Bogotá, Banco de Occidente, Banco di Napoli, Banco do Brasil, Banco do Nordeste, Banco Ficohsa, banco general, Banco General Panamá, banco GNB, Banco inter, Banco pan, Banco Santander, Bancolombia, banistmo, bank of america, Bankinter, bbva, BBVA Colômbia, binance, Brandesco, Bybit, Caixa geral de depósitos, caixabank, Caja de Ahorros, chase bank, Citibank Colômbia, Citigroup, coinbase, Colpatria, Credito agricola, dkb bank, dkb.de, Eurobic, exodus, facebook ads, FinecoBank, Gate.io, gemini.com, gemini.com/exchange, GNB Sudameris, Goldman Sachs, google ads, HSBC, Huntington, Intesa Sanpaolo, Itaú Corpbanca Colômbia, JP Morgan Chase, Lloyds Bank, metamask, Metro Bank, Moey, Montepio, Novobanco, Nubank, Openbank, paypal, Poloniex, Prosperity Bank, Revolut, Sanpaolo IMI, Santander, Santander UK, Starling Bank, Truist Bank, trustwallet, Unibanco, UniCredit, usbank, Virgin Money UK, wellsfargo, westernunion.

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que PureHVNC ?
• ÉTAPE 1. Suppression manuelle du logiciel malveillant PureHVNC.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement un logiciel malveillant ?

La suppression manuelle des logiciels malveillants est une tâche complexe. Il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez suivre les étapes suivantes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec réseau » :

Utilisateurs de Windows 8: démarrez Windows 8 en mode sans échec avec réseau - Accédez à l'écran d'accueil de Windows 8, tapez Avancé, puis sélectionnez Paramètres dans les résultats de recherche. Cliquez sur Options de démarrage avancées, puis sélectionnez Démarrage avancé dans la fenêtre « Paramètres généraux du PC » qui s'ouvre.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur redémarrera alors dans le « menu Options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec réseau » :

Utilisateurs de Windows 10: cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants masquent leurs noms sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez « Supprimer ».

Après avoir supprimé le logiciel malveillant à l'aide de l'application Autoruns (ceci garantit que le logiciel malveillant ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Redémarrez votre ordinateur en mode normal. Ces étapes devraient permettre de supprimer tout logiciel malveillant de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes peuvent ne pas fonctionner avec les infections par des logiciels malveillants avancés. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les logiciels malveillants par la suite. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le logiciel malveillant PureHVNC, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

La suppression des logiciels malveillants nécessite rarement un formatage.

Quels sont les principaux problèmes que le malware PureHVNC peut causer ?

Les menaces posées par une infection dépendent des capacités du logiciel malveillant et du mode opératoire des cybercriminels. PureHVNC permet le contrôle à distance des appareils et dispose de nombreuses fonctionnalités de vol de données. En général, les logiciels malveillants de ce type peuvent causer de multiples infections du système, de graves problèmes de confidentialité, des pertes financières et des usurpations d'identité.

Quel est l'objectif du malware PureHVNC ?

Les logiciels malveillants sont principalement utilisés pour générer des revenus. Cependant, les cybercriminels peuvent également utiliser des logiciels malveillants pour s'amuser, assouvir des rancunes personnelles, perturber des processus (par exemple, des sites, des services, des entreprises, etc.), mener des actions de hacktivisme et lancer des attaques à motivation politique/géopolitique.

Comment le logiciel malveillant PureHVNC s'est-il infiltré dans mon ordinateur ?

PureHVNC s'est propagé par le biais de faux contenus générés par l'IA et distribués par de faux sites promus via Facebook. D'autres techniques de distribution sont possibles. Les logiciels malveillants se propagent principalement par le biais de chevaux de Troie, de téléchargements drive-by, d'escroqueries en ligne, de publicités malveillantes, de courriers indésirables, de canaux de téléchargement suspects (par exemple, des sites web proposant des logiciels gratuits et des sites web tiers, des réseaux de partage P2P, etc.), d'outils d'activation de logiciels illégaux (« cracks ») et de fausses mises à jour.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Combo Cleaner est capable de détecter et de supprimer pratiquement toutes les infections malveillantes connues. N'oubliez pas qu'il est essentiel d'effectuer une analyse complète du système, car les logiciels malveillants sophistiqués se cachent généralement profondément dans les systèmes.