Sur internet, il y a un peu de tout et il y a aussi beaucoup de choses bien débiles.
Dans la série des trucs débiles, on trouve des crétins qui s’amusent à envoyer des logiciels malveillants, ces derniers visent à planter les ordinateurs.
Bien entendu, tout cela est filmé pour mettre en ligne leur forfait.
Ces derniers revendiquent être liés au forum blabla 18-25 du forum www.jeuxvideo.com
Diffusion
La diffusion se fait essentiellement par des contacts via Twitch par exemple.
On miroite alors des outils pour régler des problèmes de lag (lenteur de connexion avec les serveurs).
A partir de là, on fait télécharger des fichiers du type “Twitch Booster” en faisant désactiver l’antivirus.
Si la victime coopère, le trojan est exécuté sur l’ordinateur.
Le tout est filmé, si le piège fonctionne jusqu’au bout, la vidéo est ensuite mise en ligne.
Il existe des variantes avec des fichiers qui permettent soit disant d’augmenter l’audience de ses vidéos Youtube.
Quelques unes de ces vidéos : https://www.youtube.com/results?search_query=le+18-25+hack
On trouve aussi des vidéos tutos piégés, comme je l’avais évoqué sur la page : Arnaques et virus sur Youtube
Comme d’habitude, il s’agit de mettre un tuto en ligne avec un lien piégé.
D’autres directement sur le forum jeuxvideos.com : http://www.jeuxvideo.com/forums/42-51-51164934-2-0-1-0-comment-apprendre-a-hack.htm
ou encore cette vidéo pour améliorer la qualité de ses vidéos.
La vidéo est bourrée de faux commentaires faisant croire que le logiciel est très efficace.
qui mène à un site streamhelpers.fr
qui conduit à un lien mega.nz.
La plupart des fichiers vérolés sont hébergés là bas.
Google Chrome bloque le téléchargement en indiquant que le fichier est un malware.
Cette chaîne Youtube en distribue, avec des tutos pour en faire : https://www.youtube.com/channel/UCdvrNubv-oLPzKUOOCNDB8A
Après une bonne nouvelle pour les victimes avant les grandes vacances….
Le charge virale
Il y a plusieurs variantes avec un fonctionnement globalement identique.
Des popups d’installation de Twitch Booster s’ouvre, il faut accepter.
puis des popups avec le message “L’élite de la Nation – Le 18-25 t’a bien baiser le fion gros fils de pute”
(avec la faute d’accord sur baiser, ce qui prouve bien que la source est bien jeuxvideo.com ;=)).
Ces popups tournent en boucle, une voix sonore derrière tourne pour indiquer que vous êtes fait avoir par 18-25.
Certains affichent une image pornographique :
et un programme de blague (JokeTool) est utilisé pour effectuer un fondu de l’écran, comme si, celui-ci se liquiéfait.
| SHA256: | a1d883577bcb6c4f9de47b06fe97c370c09bddffb6569b6cf93576371bdbc412 |
| Nom du fichier : | extension6.exe |
| Ratio de détection : | 2 / 61 |
| Date d’analyse : | 2017-06-06 22:19:55 UTC (il y a 9 heures, 19 minutes) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Baidu | Win32.Trojan.WisdomEyes.16070401.9500.9574 | 20170601 |
| Malwarebytes | JokeTool.Melter | 20170606 |
Le problème est que certains embarquent des ransomwares.
Sur un des Twitch Booster, on peut trouver le ransomware Satan :
Sur un autre, il s’agit d’un ransomware qui réécrit le MBR pour y insérer un jeu de serpent.
La partition système est alors chiffrée, ainsi les données ne sont plus accessibles.
Ces rançongiciels ne sont pas des ransomwares écrits par les auteurs de ces pièges, ce sont des ransomwares récupérés à droite et à gauche et insérés dans la chaîne d’exécution.
Tous ces exécutables malveillants enchaînent des scripts VBS pour afficher les différents messages et lancer tous les exécutables.
En clair donc, tous ces .exe sont construits de la même manière et enchaînent les différentes actions à l’aide des VBS.
Seul le ransomware final est différent.
Les messages étant dans de simples fichiers VBS, chacun peut créer son .exe grâce aux tutos en vidéo sur Youtube.
Et là, c’est magnifique, car sur une des variantes, on peut voir la correction sur BAISER, provenant probablement d’un ado qui ne dormait pas au fond de la classe pendant les cours de français.
Les trois exécutables sont très bien détectés par les antivirus.
| SHA256: | dba129b89a17d243152369e372dc3a1895b021a556ea1806db492936be045fe2 |
| Nom du fichier : | Twitch Patcher.exe |
| Ratio de détection : | 40 / 61 |
| Date d’analyse : | 2017-06-06 21:17:20 UTC (il y a 0 minute) |
| SHA256: | f886926dd12a44a8857b1c28ca9ad28583c3428234f21f4b3ffade458a90386d |
| Nom du fichier : | StreamHelpersSetup.exe |
| Ratio de détection : | 44 / 59 |
| Date d’analyse : | 2017-06-06 20:53:35 UTC (il y a 11 heures, 11 minutes) |
| SHA256: | 97bba8e427cddf7c717c343bf373601597cb80bc1e8b140d5be1745bfb73e49e |
| Nom du fichier : | Twitch Booster by back v3.exe |
| Ratio de détection : | 19 / 60 |
Conclusion
Il y a donc clairement intention de planter les ordinateurs et de nuire.
Comme d’habitude, ne jamais… ne jamais….
Ne jamais télécharger de fichier exécutable provenant d’inconnus ou héberger sur des sites comme mega.nz, upload.net etc
Ce ne sont pas des sources sûres.