Windows 7 et 10 : les vraies-fausses mises à jour Adobe Flash Player pleines de malware sont de retour

Windows 7 et Windows 10 sont visés par des campagnes de vraies-fausses mises à jour Adobe Flash Player. Ce qui rend cette campagne dangereuse, c'est que ces programmes d'installation font ce pourquoi on les a téléchargé : ils mettent à jour Flash Player. Mais ils cachent en prime un trojan qui télécharge et installe discrètement XMRig, un programme de cryptominage. L'utilisateur, lui, ne se rend compte de rien si ce n'est des performances en berne. Les chercheurs pensent que les ordinateurs infectés pourraient télécharger d'autres malware par la suite. 

Les chercheurs de Palo Alto Network avertissent d'une nouvelle campagne d'attaques de fausses mises à jour Flash Player, régulièrement cible de failles de sécurité. Ce genre d'attaque est au moins aussi ancien que le plugin éponyme. La nouveauté c'est que l'on parle bien de vrais-faux programmes d'installation : l'utilisateur ne se rend pas compte qu'il installe un malware, d'autant que la mise à jour d'Adobe Flash se passe comme prévu. Pendant l'installation, un autre programme s'installe lui aussi – généralement XMRig, un miner de Monero, mais les chercheurs avertissent qu'il peut aussi s'agir de programmes plus malicieux. Le programme se lance en tâche de fond à l'insu de l'utilisateur. L'attaque n'est pas détectée sous Windows 7, et peut ne pas l'être sous Windows 10. Palo Alto Network explique avoir rencontré quelques 113 déclinaisons de ce genre d'attaques depuis mars 2018. Et donne une liste de 473 noms de fichiers et URL qui y correspondent, liste que vous pouvez consulter en suivant ce lien.

Windows 7 et 10 : ne mettez pas Flash Player à jour sans passer directement par le site d'Adobe

On vous le disait, Flash Player est une surface d'attaque courante, en raison entre autres de son système de mise à jour parfois hasardeux, et de ses écrans caractéristiques qui sont très faciles à imiter – et mettent facilement la victime en confiance. C'est entre-autres pour cela, en plus de son impact souvent déraisonnable sur les performances, que son usage est en déclin. Certains navigateurs comme Firefox et Chrome bloquent Flash Player par défaut. Même Adobe a fini par jeter l'éponge, et annoncé que dès 2020, Adobe Flash serait définitivement abandonné, et ne recevrait plus aucune mise à jour. Etant donné que depuis son lancement, le web a vu éclore des formats ouverts encore plus versatiles, interactifs, stables et sécurisés, directement intégrés à l'architecture des navigateurs (HTML5, CSS3, etc…).

Alors comment se protéger de ce genre d'attaque ? Tout simplement… en ne jurant que par Adobe. En cas de popup de mise à jour, où qu'elle apparaisse, n'acceptez rien – et rendez-vous directement sur le site Adobe dans la rubrique téléchargement, pour télécharger et installer la dernière version du plugin. Evitez dans tous les cas les sites de téléchargement tiers. Il est en effet trop facile de tromper les internautes avec de telles fausses mises à jour. D'autant que comme le souligne Palo Alto Network, il se pourrait que les pirates utilisent ce vecteur pour installer d'autres programmes malicieux à l'insu de l'utilisateur par la suite. Enfin, si vous avez déjà été infecté, il est conseillé de lancer un scan avec votre logiciel antivirus favori, et en cas de négatif, de ne pas hésiter à lancer un autre scan avec une solution tierce.