Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce que DawDropper ?

DawDropper est un maliciel ciblant les systèmes d'exploitation Android. Il est classé comme un Dropper - un type de programme conçu pour provoquer des infections en chaîne (c'est-à-dire télécharger/installer d'autres maliciels). Ce Dropper a été utilisé pour infecter des appareils avec divers chevaux de Troie bancaires.

Les développeurs de DawDropper proposent ce programme malveillant en tant que service (maliciel-as-a-Service [MaaS]) afin que les cybercriminels puissent l'utiliser pour diffuser leurs maliciels moyennant des frais. DawDropper a été activement distribué sur le Google Play Store sous le couvert de diverses applications de nettoyage du système, de messagerie, d'édition d'images et d'autres applications.

Qu'est-ce que le rançongiciel FILE ?

Nos chercheurs ont découvert un nouveau programme de type rançongiciel appartenant à la famille Phobos - appelé FILE. Les maliciels de cette catégorie fonctionnent en cryptant les données afin d'exiger des rançons pour le décryptage.

Après avoir exécuté un échantillon du rançongiciel File sur notre machine de test, il a crypté les fichiers et modifié leurs titres. Les noms de fichiers d'origine étaient accompagnés d'un identifiant unique, de l'adresse courriel des cybercriminels et d'une extension ".FILE". Par exemple, un fichier nommé "1.jpg" apparaissait comme "1.jpg.FILE", "2.png" comme "2.png.FILE", et ainsi de suite.

Une fois le cryptage terminé, les messages demandant une rançon ont été créés/affichés dans une fenêtre pop-up ("info.hta") et un fichier texte ("info.txt").

Qu'est-ce que le logiciel voleur Luca ?

Luca est un maliciel classé comme voleur. Les maliciels de ce type fonctionnent en extrayant un large éventail de données vulnérables des appareils infectés. Le logiciel voleur Luca est écrit dans le langage de programmation Rust.

Le code source de ce programme a été divulgué par son ou ses développeurs le 3 juillet 2022 - sur un forum de hackers, puis Luca a fait son apparition sur GitHub.

Au moment de la rédaction, le ou les développeurs ont mis à jour ce logiciel voleur trois fois, et avec l'accessibilité publique du maliciel, il est susceptible de recevoir des mises à jour et des modifications continues. Par conséquent, les capacités, la distribution et l'utilisation de Luca peuvent varier en fonction de la variante et des cybercriminels qui l'utilisent.

Qu'est-ce que LNK/Agent ?

LNK/Agent est le nom de détection pour un raccourci système Windows vers un fichier, un programme ou un dossier malveillant. Les raccourcis (fichiers LNK) détectés comme LNK/Agent ne contiennent pas de charge utile - ils lancent des exécutables malveillants (fichiers d'exécution conçus pour infecter les ordinateurs avec des maliciels). Les cybercriminels utilisent les fichiers LNK car ils sont moins susceptibles d'être suspects.

Qu'est-ce que la fausse extension "Chrome" ?

En inspectant des sites Web proposant des logiciels "crackés", nos chercheurs ont découvert une extension de navigateur malhonnête simplement intitulée "Chrome". De nombreuses fausses extensions peuvent utiliser ce nom; en général, il est courant que des logiciels douteux utilisent les noms et les images de produits et d'entreprises légitimes. En règle générale, les applications et les extensions de navigateur trompeuses ont des fonctionnalités nuisibles. L'extension "Chrome" illégitime que nous avons analysée avait des capacités de type publiciel.

Qu'est-ce que le maliciel Windows Calculator ?

Lors de l'analyse d'un courriel contenant une pièce jointe malveillante, nous avons découvert que les acteurs de la menace derrière Qakbot (également connu sous le nom de QBot) utilisent une méthode de détournement de DLL pour distribuer des maliciels. Ils abusent de l'application Windows 7 Calculator dans leurs attaques. Actuellement, Qakbot est connu pour être utilisé comme dropper pour les rançongiciels.

Quel type de courriel est "Meeting Remember" ?

Notre inspection du courriel "Meeting Reminder" a révélé qu'il s'agissait d'un spam. Cette lettre fonctionne comme une escroquerie par hameçonnage ciblant les identifiants de connexion au compte de messagerie. En faisant de fausses déclarations sur un document important ayant été partagé avec les destinataires, cette arnaque tente de les inciter à divulguer leurs mots de passe de messagerie pour afficher le fichier inexistant.

Qu'est-ce que DUCKTAIL ?

DUCKTAIL est le nom d'un programme malveillant conçu pour voler des comptes Facebook Business. Les attaques observées ont été très ciblées.

Les recherches de WithSecure Intelligence suggèrent que ce maliciel existe depuis 2021 et est associé à des cybercriminels vietnamiens. Au moment d'écrire ces lignes, DUCKTAIL continue de recevoir des mises à jour, y compris de nouvelles capacités pour échapper aux mesures de sécurité de Facebook.

Qu'est-ce que HiddenAds ?

Découvert par les chercheurs de Dr. Web, HiddenAds est une famille de maliciels ciblant les systèmes d'exploitation Android. Ce groupe comprend de nombreuses applications malveillantes ; la plupart fonctionnent comme des publiciels (publicités affichées), mais certains sont également capables d'abonner furtivement les victimes à des services surtaxés et de voler leurs comptes de réseaux sociaux.

Au moment de la recherche, les applications HiddenAds étaient activement diffusées via le Google Play Store - avec plus de dix millions de téléchargements à leur actif. Ce logiciel porte divers déguisements, par exemple, jeux, appels/messagerie, protection/nettoyage du système, retouche d'images/photos, clavier virtuel, papier peint et autres applications (la liste des applications associées à HiddenAds se trouve ici).

Quel type de page est captcha4you[.]top ?

Captcha4you[.]top est un site escroc conçu pour inciter les visiteurs à lui permettre d'envoyer des spams de notification de navigateur. De plus, cette page Web est capable de rediriger les utilisateurs vers d'autres sites Web (probablement douteux/malveillants).

Nos chercheurs ont découvert captcha4you[.]top en inspectant des sites qui utilisent des réseaux publicitaires malhonnêtes. Il convient de noter que la plupart des utilisateurs accèdent à captcha4you[.]top et aux sites Web similaires à travers les redirections causées par les pages susmentionnées.