Mercredi, Google a annoncé qu’il avait obtenu une décision de justice temporaire aux États-Unis pour interrompre la distribution du logiciel malveillant CryptBot. Le logiciel espion recueille des informations privées auprès des utilisateurs de Google Chrome, notamment des informations de connexion à des comptes de réseaux sociaux, des comptes de devises numériques et des détails d’authentification.

Plus de 670 000 ordinateurs ont été attaqués par CryptBot en 2022, et les données capturées ont été échangées avec différents pirates pour être utilisées dans des activités de piratage. Sur décision de justice, Google prévoit de supprimer tous les sites actifs et potentiels liés à la diffusion de CryptBot.

Mike Trinh et Pierre-Marc Bureau , de Google, ont déclaré que le géant de la technologie prenait des mesures pour punir les individus qui profitent de la propagation des ransomwares et de leurs propriétaires illicites. CryptBot, initialement identifié en décembre 2019, se propage par le biais de versions délibérément altérées de logiciels bien connus tels que Google Earth Pro et Google Chrome, qui sont stockées sur de faux sites web.

Lire aussi : “Les pirates chinois élargissent leurs cibles avec la variante Linux PingPull : Les entités financières et gouvernementales sont menacées”

L’infection s’est propagée par l’intermédiaire de sites web piratés qui proposent des éditions “craquées” de plusieurs programmes et jeux vidéo.

En décembre 2021, Red Canary a découvert une campagne CryptBot qui utilisait KMSPico, un outil non officiel permettant d’activer Microsoft Office et Windows sans clé de licence, comme vecteur de diffusion. BlackBerry a également mis à jour et diffusé le voleur d’informations nuisibles en mars 2022 via des sites web piratés. Google pense que les principaux revendeurs de CryptBot dirigent une organisation criminelle mondiale à partir du Pakistan.

Les utilisateurs sont encouragés à ne télécharger que des applications provenant de sites web dignes de confiance, à lire attentivement les commentaires et à s’assurer que le logiciel et le système d’exploitation de leur appareil sont mis à jour afin de minimiser les dangers de telles attaques. La divulgation de Google intervient après que Microsoft, Fortra et Health-ISAC ont légalement démantelé des serveurs hébergeant des copies illégales de Cobalt Strike afin d’empêcher l’utilisation abusive de l’outil par des acteurs de la menace. En décembre 2021, Google a remplacé le système de commande et de contrôle lié au botnet Glupteba. Cependant, le virus est réapparu six mois plus tard avec une attaque “amplifiée”.