La société de sécurité numérique Sophos a lancé un avertissement concernant un programme malveillant sophistiqué, baptisé Baldr, qui est distribué depuis le début de cette année par le biais de soi-disant tricheurs pour des jeux comme Fortnite, Apex Legends et CS: GO. Le logiciel est "un voleur de mots de passe en devenir" qui a progressé grâce à au moins quatre révisions majeures, permettant aux utilisateurs de voler des numéros de carte de crédit, des identifiants de connexion pour des sites de jeux et d'autres plateformes en ligne, ainsi que d'autres informations personnelles, dont certaines au moins. qui est vendu sur des forums web sombres.
Dans son analyse technique, Baldos a révélé que Sophos avait été le premier à rencontrer le programme malveillant alors qu'il se propageait dans les "cercles de jeux en ligne", stimulé par les vidéos YouTube proposant des astuces pour les jeux populaires. "Ces vidéos étaient utilisées pour promouvoir des outils censés donner aux joueurs de jeux en ligne une ou plusieurs capacités à tricher dans des jeux tels que Counter-Strike: Go ou Apex Legends. Les détails de la vidéo contenaient souvent un lien qu'un téléspectateur pouvait utiliser pour télécharger l'outil. Nous avons également vu des liens de téléchargement distribués dans des canaux spécifiques aux jeux sur les services de discussion Discord et Telegram ", explique l’analyse.
"En plus de ces méthodes de distribution, nous avons trouvé des exemples de logiciels malveillants Baldr inclus dans les versions piratées de jeux proposés au téléchargement illégal, ainsi que dans des offres groupées avec des programmes d'installation modifiés de manière malveillante par des logiciels de crypto-monnaie légitimes."
Le responsable de la cyber-recherche de Sophos, Chester Wisniewski, a décrit le logiciel malveillant comme étant un "hit and run", indiquant au Telegraph qu'une fois déclenché, "il vole instantanément tout le contenu de l'ordinateur, le regroupe et l'envoie aux escrocs". Il a également expliqué un peu pourquoi Baldr avait acquis son premier essor grâce aux jeux en ligne.
"Les adolescents sont facilement convaincus de tricher avec leurs amis et sont beaucoup moins susceptibles de comprendre que ces choses pourraient être malveillantes et causer des problèmes sur leurs ordinateurs qu'un adulte", a-t-il déclaré. "Ils vont cliquer sur n'importe quoi."
L'origine du logiciel malveillant n'est pas connue, mais la plupart des infections à Baldr ont été découvertes jusqu'à présent en Indonésie (y compris à Singapour), au Brésil et en Russie; les États-Unis représentent environ 10,5% des infections. Il existe également une option permettant de s’assurer qu’elle n’attaque pas les cibles russes, ce qui pourrait être révélateur: comme l’a noté le Telegraph, c’est une infraction pénale en Russie que de pirater des cibles nationales.
Quelles que soient ses origines, on dirait que Baldr évolue maintenant dans des cercles plus larges. Le rapport technique de Sophos indique qu’il a "initialement" ciblé les joueurs au moyen de tricheurs et de copies piratées de jeux ", mais au fur et à mesure que la clientèle du logiciel malveillant augmentait, la variété de méthodes que nous avons utilisées pour envoyer le logiciel malveillant aux victimes".
Cela inclut une vulnérabilité de sécurité dans WinRAR découverte en février et une faille étrange dans les versions antérieures de Microsoft Office, ce qui semblait déconcerter les chercheurs: "Pourquoi les criminels ont-ils choisi d'utiliser cette vulnérabilité particulière pour distribuer des logiciels malveillants plus d'un an après le correctif a été publié reste un mystère, car les mises à jour ultérieures de Microsoft Office ont essentiellement supprimé le composant vulnérable de l’Éditeur d’équations d’Office ", indique l’analyse.
Sophos a également déclaré au Telegraph que l'objectif principal de Baldr était probablement d'accéder à des comptes de jeu afin de voler et de vendre de la monnaie dans le jeu. Mais depuis, "des mots de passe Netflix, des connexions à des réseaux sociaux et même des comptes airmiles" ont été proposés à la vente sur le Web sombre.
Il est possible que le développement du logiciel malveillant se soit arrêté, du moins temporairement: Sophos a déclaré que le développeur principal et le distributeur principal "semblent avoir eu une brouille (quelque peu publique)" et que ce produit n'est plus proposé à la vente. Mais il a également prédit qu'il pourrait revenir, éventuellement sous un nouveau nom.