Comment supprimer VoidStealer des systèmes infectés

De quel type de logiciel malveillant s'agit-il avec VoidStealer ?

VoidStealer est un type de logiciel malveillant qui vole des données sensibles dans les navigateurs. Il utilise une technique basée sur un débogueur pour contourner la protection du navigateur (chiffrement lié à l'application) en surveillant la mémoire pendant que le navigateur est en cours d'exécution. Cela lui permet de capturer des clés de chiffrement sans avoir besoin d'autorisations spéciales ni d'injecter de code. De ce fait, il est plus difficile à détecter par les outils de sécurité.

Introduction

Le chiffrement lié à l'application (ABE) est un mécanisme de sécurité qui chiffre les données sensibles (telles que les mots de passe enregistrés) afin que seul le navigateur puisse y accéder. Cette fonctionnalité de sécurité a été intégrée à Google Chrome en 2024. VoidStealer est le premier logiciel malveillant de type « malware-as-a-service » (MaaS) de type infostealer connu à utiliser une méthode permettant de contourner l'ABE.

VoidStealer existe en plusieurs versions, et cette technique de contournement a été ajoutée dans la version 2.0 du logiciel malveillant. Le voleur de données utilise deux méthodes différentes pour contourner la protection du navigateur au cas où l'une d'elles ne fonctionnerait pas. La première méthode est bien connue et consiste à s'injecter dans le processus du navigateur, mais elle peut être facilement détectée par les outils de sécurité.

La deuxième méthode est plus récente et plus discrète, car elle se contente de lire la mémoire du navigateur et de s'y connecter en tant que débogueur. Elle est donc moins visible et plus difficile à détecter. Dans Google Chrome, les mots de passe enregistrés et autres informations sensibles sont chiffrés et stockés dans une base de données locale. Ces données sont conservées dans un fichier de base de données SQLite sur le système, généralement situé dans le dossier AppData.

En règle générale, les mots de passe sont protégés de manière à ce que seul le navigateur (et les processus autorisés) puisse les lire. Le chiffrement lié à l'application (ABE) protège une clé secrète en utilisant les privilèges système les plus élevés sous Windows. Chrome s'exécute en tant qu'utilisateur standard; il ne peut donc pas accéder directement à cette clé.

Pour résoudre ce problème, Chrome utilise un service d'arrière-plan spécial qui s'exécute avec des privilèges plus élevés afin de déverrouiller la clé en toute sécurité lorsque cela est nécessaire. Lorsque Chrome en fait la demande, le service vérifie la requête, puis renvoie la clé déchiffrée. Chrome utilise ensuite cette clé pour chiffrer et déchiffrer les données sensibles telles que les mots de passe et les cookies.

Les logiciels espions pourraient contourner cette protection en s'exécutant avec tous les privilèges, mais cela ne fonctionne que dans certains cas. Ils peuvent également s'injecter dans Chrome pour récupérer la clé, mais cette méthode est plus facile à détecter par les outils de sécurité. Chrome protège la clé en ne la conservant en mémoire que brièvement et en la chiffrant.

VoidStealer tire parti de ce bref instant en analysant la mémoire du navigateur à l'aide d'un débogueur et en récupérant la clé sans avoir besoin de privilèges élevés ni d'injection de code.

Comment fonctionne cette technique

VoidStealer cible des navigateurs tels que Google Chrome et Microsoft Edge. Il lance un processus de navigateur caché et s'y intègre en tant que débogueur. En effet, lors de son démarrage, le navigateur charge et déchiffre des données protégées telles que les cookies. À ce moment-là, la clé secrète est brièvement accessible en mémoire, ce qui en fait le moment idéal pour que le logiciel malveillant s'en empare.

VoidStealer place des points d'arrêt et surveille le processus jusqu'à ce qu'il atteigne ce moment précis, puis extrait la clé directement de la mémoire. Grâce à cette clé, il peut déchiffrer et accéder à des données sensibles telles que les mots de passe enregistrés et les cookies. Les cybercriminels peuvent détourner ces informations à des fins malveillantes diverses.

Ils peuvent s'en servir pour accéder à des comptes (par exemple, sur les réseaux sociaux ou des comptes bancaires), voler des données personnelles ou commettre des fraudes. Ils peuvent également utiliser les comptes piratés pour diffuser des logiciels malveillants et des escroqueries. Dans certains cas, ils revendent les données volées à d'autres personnes sur le dark web.

Conclusion

VoidStealer est un type de logiciel malveillant conçu pour voler des informations sensibles dans les navigateurs. Il utilise des techniques sophistiquées pour contourner les mesures de sécurité et accéder aux données stockées, telles que les mots de passe et les cookies. Cela en fait une menace sérieuse, car il peut agir de manière furtive et échapper à la détection.

Parmi les autres logiciels de vol, on peut citer BoryptGrab, MaskGramStealer et Xillen.

Comment VoidStealer s'est-il introduit dans mon ordinateur ?

Les cybercriminels exploitent souvent les failles de sécurité des logiciels obsolètes ou diffusent des logiciels malveillants par le biais de programmes piratés, d'outils d'activation non officiels et de générateurs de clés. Parmi les autres méthodes courantes, on peut citer les escroqueries au « support technique », les e-mails ou messages trompeurs contenant des liens ou des pièces jointes malveillants, ainsi que les publicités malveillantes.

Les logiciels malveillants peuvent également se propager via des clés USB infectées, des sites web frauduleux ou compromis, des réseaux de partage de fichiers peer-to-peer (P2P) et des outils de téléchargement tiers. Les pirates les dissimulent généralement dans des fichiers tels que des exécutables, des archives compressées, des scripts ou des documents comme des PDF et des fichiers Office, qui peuvent infecter les systèmes dès leur ouverture ou lorsque l'utilisateur effectue certaines actions.

Comment éviter l'installation de logiciels malveillants ?

Veillez à maintenir à jour votre système d'exploitation et tous les programmes installés, et téléchargez les logiciels et les fichiers à partir des sites Web officiels ou de boutiques d'applications réputées. Évitez d'interagir avec des publicités, des fenêtres contextuelles ou des liens suspects, en particulier sur des sites Web peu fiables, et n'autorisez pas les notifications provenant de pages douteuses.

Méfiez-vous des e-mails ou des messages inattendus provenant d'expéditeurs inconnus : n'ouvrez pas les pièces jointes et ne cliquez pas sur les liens à moins d'être certain qu'ils ne présentent aucun danger. Utilisez des outils de sécurité fiables pour effectuer des analyses régulières et détecter les menaces potentielles.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants qui s'y sont infiltrés.

VoidStealer fait l'objet d'une promotion sur un forum de hackers (source : gendigital.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que VoidStealer ?
• ÉTAPE 1. Suppression manuelle du logiciel malveillant VoidStealer.
• ÉTAPE 2. Vérifiez que votre ordinateur ne contient pas de virus.

Comment supprimer manuellement un logiciel malveillant ?

La suppression manuelle des logiciels malveillants est une tâche complexe ; il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous souhaitez supprimer. Voici un exemple de programme suspect en cours d'exécution sur l'ordinateur d'un utilisateur :

Si vous avez consulté la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du Gestionnaire des tâches, et que vous avez repéré un programme qui vous semble suspect, procédez comme suit :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, ainsi que leur emplacement dans le Registre et le système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu des options avancées de Windows s'affiche, puis sélectionnez « Mode sans échec avec réseau » dans la liste.

Vidéo expliquant comment démarrer Windows 7 en « mode sans échec avec réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec réseau. Accédez à l'écran d'accueil de Windows 8, tapez « Avancé », puis sélectionnez « Paramètres » dans les résultats de recherche. Cliquez sur « Options de démarrage avancées ». Dans la fenêtre « Paramètres généraux de l'ordinateur » qui s'ouvre, sélectionnez « Démarrage avancé ».

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va alors redémarrer et afficher le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans la fenêtre des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera et affichera l'écran des paramètres de démarrage. Appuyez sur la touche F5 pour démarrer en mode sans échec avec réseau.

Vidéo expliquant comment démarrer Windows 8 en « mode sans échec avec réseau » :

Utilisateurs de Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône « Alimentation ». Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage », puis cliquez sur le bouton « Redémarrer ». Dans la fenêtre qui s'affiche, appuyez sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Vidéo expliquant comment démarrer Windows 10 en « mode sans échec avec réseau » :

Décompressez l'archive téléchargée et lancez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut de la fenêtre et décochez les cases « Masquer les emplacements vides » et « Masquer les entrées Windows ». Une fois cette opération effectuée, cliquez sur l'icône « Actualiser ».

Consultez la liste fournie par l'application Autoruns et repérez le fichier malveillant que vous souhaitez supprimer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants dissimulent leurs noms sous ceux de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Une fois que vous avez localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et sélectionnez « Supprimer ».

Après avoir supprimé le logiciel malveillant à l'aide de l'application Autoruns (ce qui garantit qu'il ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à afficher les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez parvenir à supprimer tout logiciel malveillant de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes pourraient ne pas fonctionner en cas d'infection par des logiciels malveillants sophistiqués. Comme toujours, il vaut mieux prévenir l'infection que d'essayer de supprimer le logiciel malveillant par la suite. Pour assurer la sécurité de votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt de logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon appareil est infecté par le logiciel malveillant VoidStealer. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?

La réinitialisation ou l'effacement complet d'un appareil est un moyen efficace de supprimer les logiciels malveillants. Cependant, cela efface également toutes les données si celles-ci n'ont pas été sauvegardées. Il est recommandé d'essayer d'abord de supprimer VoidStealer à l'aide d'un outil de sécurité tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent entraîner divers problèmes, tels que des pertes financières ou l'usurpation d'identité, ainsi que le vol de données personnelles. Ils peuvent également prendre le contrôle d'un appareil et endommager ou supprimer des fichiers importants.

À quoi sert VoidStealer ?

VoidStealer a pour objectif de dérober des informations sensibles sur l'ordinateur d'un utilisateur, en particulier à partir des navigateurs Web. Il est conçu pour extraire des données telles que les mots de passe enregistrés, les cookies et les identifiants de connexion, afin de permettre aux pirates d'accéder à des comptes ou de mener d'autres actions malveillantes.

Comment VoidStealer s'est-il introduit dans mon appareil ?

Les cybercriminels diffusent des logiciels malveillants en exploitant des logiciels obsolètes et en utilisant des programmes piratés, de faux outils d'activation et des générateurs de clés. Ils ont également recours à des e-mails de hameçonnage, à des publicités malveillantes et à des escroqueries au faux support technique. De plus, les logiciels malveillants peuvent provenir de clés USB infectées, de faux sites web, de réseaux P2P et d'outils de téléchargement tiers, et sont souvent dissimulés dans des fichiers tels que des exécutables, des archives, des scripts ou des documents.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des logiciels malveillants connus. Cependant, certaines menaces sophistiquées peuvent se cacher profondément dans le système. C'est pourquoi il est important d'effectuer une analyse complète du système afin de s'assurer que tout est détecté et supprimé.