Malware 101 : les programmes potentiellement indésirables

Malware est un mot-valise signifiant logiciel malveillant et, même si la grande majorité des malwares sont effectivement malveillants, certains d'entre eux sont plus agaçants ou potentiellement dangereux que purement et simplement malveillants. Tout comme la distinction entre le spam et le phishing, pour la plupart, les logiciels antimalware essaient toujours de bloquer certaines choses (comme les logiciels de protection des e-mails essaient généralement de bloquer le spam), mais leur impact est moindre sur la plupart des autres malwares.

Ce genre de logiciel reçoit souvent le nom générique de PUP (potentially unwanted program) ou programme potentiellement indésirable. Les PUP présentent généralement des comportements suspects ou peuvent avoir été installés par un moyen moins trompeur qu'un cheval de Troie, mais ils n'ont rien fait pour nuire spécifiquement à l'utilisateur, à l'appareil ou au réseau. Les PUP peuvent collecter plus de données sur l'utilisation que Facebook et Google réunis, sans toutefois s’attaquer spécifiquement aux informations sensibles comme le feraient les logiciels espions. Les PUP se présentent parfois sous la forme d'une barre d'outils de navigateur ou d'une deuxième application fournie avec le logiciel que vous souhaitez installer. Leur point commun, c'est que la plupart des utilisateurs ne souhaiteraient pas installer un PUP s'ils en savaient plus à son sujet et si on leur demandait directement s'ils voulaient l'installer. Dans le cas des PUP, l'utilisateur est souvent trompé.

Logiciels publicitaires

L'adware ou logiciel publicitaire est suffisamment courant parmi les programmes indésirables pour être une catégorie à part entière. Comme son nom l'indique, un logiciel publicitaire affiche des publicités. Il peut s'agir de faire apparaître des fenêtres pop-up dans le système d'exploitation directement, d'injecter des publicités dans d'autres logiciels (comme le logiciel que l'utilisateur a prévu d'installer) ou de détourner l'espace publicitaire déjà présenté sur les pages Web pour afficher des publicités différentes.

Bien que tout logiciel contenant des publicités puisse être considéré comme un adware, du point de vue des malwares, cela devient un problème, lorsque ces publicités sont particulièrement intrusives ou qu'elles collectent en plus un grand nombre de données sur l'utilisation. La réputation des réseaux publicitaires utilisés joue également un rôle, car les réseaux publicitaires qui ne sont pas suffisamment sécurisés et ne valident pas le contenu peuvent entraîner la diffusion de publicités malveillantes auprès des utilisateurs, ce qui pourrait entraîner des attaques de malwares encore plus dangereuses.

FakeAV

Parfait exemple de faux test de dépistage COVID appliqué aux malwares, FakeAV prétend être un vrai logiciel antivirus. Souvent, pour imiter les effets d'une infection plus grave sur le système par un logiciel malveillant, FakeAV affirme que le système est infecté par un logiciel malveillant dans le but d'inciter l'utilisateur à acheter une licence afin de corriger le malware inexistant qui, selon lui, se trouve sur le système.

Outre la diminution des performances du système dans cette simulation, FakeAV ne fait rien de particulièrement malveillant sur le système, mais cherche plutôt à escroquer l'utilisateur en l'incitant à acheter le logiciel. Comme pour certains adwares, les fenêtres pop-up fréquentes et gênantes sont assez courantes avec FakeAV.

Hacktools

Contrairement aux autres PUP qui ne font pas forcément de choses malveillantes comme la plupart des autres malwares, les hacktools sont généralement des logiciels malveillants utilisés par les pentesters. Bien que certains hacktools soient intégrés et utilisés par d'autres logiciels malveillants, le hacktool seul nécessitera généralement un utilisateur ou un programme pour activer toute fonctionnalité malveillante. Le label hacktool permet de faire la différence entre le logiciel et les autres malwares, de sorte que quiconque l'a téléchargé et/ou installé volontairement puisse désactiver l'alerte, tandis que les autres peuvent être avertis de la présence d'un élément potentiellement dangereux sur leur appareil.

Les pentesters ne sont évidemment pas les seuls à utiliser de tels outils - ce n'est même pas le groupe démographique le plus important - mais, quoi qu'il en soit, généralement l'utilisateur est au courant que le hacktool est installé sur son système. Du point de vue de la défense réseau, cependant, la détection d'un hacktool peut être le signe de la présence d'un pirate sur le système, qui cherche à utiliser ces outils. Il vaut donc mieux ne pas l'ignorer. Étant donné que de nombreux hacktools sont obtenus à partir de sources peu recommandables, il est toujours possible que d'autres malwares tels qu'une porte dérobée soient cachés dans le hacktool.

Des objectifs qui évoluent

Bien que les types d'infections et les méthodes de propagation restent les mêmes, les objectifs et l'évasion (la prochaine partie de cette série) sont diversifiés et changent constamment. Je suis persuadé que de nombreux objectifs n'ont pas été abordés, mais ceux-ci devraient inclure la grande majorité des objectifs qu'il y a lieu de connaître à l'heure actuelle.

Tout comme les logiciels malveillants combinent des méthodes d'infection avec des objectifs et parfois des méthodes de propagation, les objectifs eux-mêmes sont souvent combinés pour réaliser plusieurs tâches avec le même malware ou s'adapter à une plus grande variété de systèmes. Les objectifs des malwares sont la partie la plus importante pour les pirates, mais pour les atteindre il faut utiliser une variété d'autres techniques tout en échappant aux logiciels de sécurité.

Vous pouvez lire le reste de la série Malwares 101 ici.