Le principe n’est pas nouveau mais voici un petit rappel de vigilance.
Pour faire de l’argent, certains n’hésitent pas à distribuer des logiciels repackés.
C’est à dire des setup et installeur qui vont vous proposer des programmes potentiellement indésirables PUP.
Notamment PUA:Win32/RelevantKnowledge et Adware.TekhNetvork.
Les logiciels open source libres de diffusion en sont souvent la cible.
Voici un exemple de sites malveillants pour télécharger Keepass, qBittorrent, 7-zip qui au final sont là pour refiler des programmes potentiellement indésirables (PUP / PUA).
Table des matières
PUP : sites malveillants pour télécharger Keepass, qBittorrent, unetbootin, inskape, …
En rédigeant le tutoriel de Keepass, je suis tombé dessus.
Il faut dire que lorsque l’on fait une recherche, le site est assez bien placé.
En effet, on trouve le site malveillant keepass.fr avant le site officiel kepass.info.
Le propriétaire décline différentes logiciels open source avec les sites suivants.
Les sites de PUP et PUA sur l’adresse IP 185.46.231.225 :
www.qbittorrent.com
gparted.fr
blender3d.fr
www.celestia.fr
www.blender3d.fr
unetbootin.net
www.gparted.fr
inkscape.fr
www.unetbootin.net
www.inkscape.fr
celestia.fr
www.keepass.fr
keepass.fr
qbittorrent.com
www.paintnet.it
paintnet.it
stellarium.es
www.stellarium.es
Sur 185.46.231.224, on trouve aussi un faux site fillezilla et des versions italiennes.
2019-12-13 www.celestia.es
2019-12-13 unetbootin.org
2019-12-13 celestia.es
2019-12-13 www.filezilla.fr
2019-12-13 filezilla.fr
2019-12-12 www.unetbootin.org
2019-12-03 pdfsam.com
2019-12-03 www.pdfsam.com
2019-10-26 www.telecharger-calibre.fr
2019-10-26 scribus.it
2019-10-26 keepass.it
2019-10-26 telecharger-calibre.fr
2019-10-26 gparted.it
2019-10-26 truecrypt.it
2019-10-19 www.truecrypt.it
2019-10-19 www.gparted.it
2019-10-19 www.scribus.it
2019-10-19 www.keepass.it
et sur 185.46.231.54, on trouve du 7zip, greenshot, adblock :
2019-03-30 notepad2.com
2019-03-29 greenshot.org
2019-03-29 7zip.fr
2019-03-28 qbittorrent.com
2019-03-28 www.qbittorrent.com
2019-03-27 audacity.es
2019-03-27 paintnet.fr
2019-03-27 7zip.es
2019-03-27 keepass.fr
2019-03-26 greenshot.fr
2019-03-25 audacity.fr
2019-03-24 freefilesync.com
2019-03-24 adblock.fr
2019-03-24 www.adblock.fr
2019-03-24 www.open-office.fr
Tous ne redirigent pas vers du contenu malveillant, mais en général oui.
La présentation est alors la même.
Notez le lien de téléchargement plutôt suspicieux.
Les sites appartiennent à DATA ACCESS S.A.R.L dont le siège est en France.
L’éditeur est In Profit Limited enregistré à Hong Kong.
Le nom parle de lui même.
Adware.TekhNetvork et PUA.Win32.RelevantKNowledge
L’exécutable est détecté en Adware.TekhNetvork ou PUA.Win32.RelevantKNowledge.
On trouve aussi beaucoup de détection générique comme Adware.BundleInstaller
Le setup de PUP propose d’installer l’antivirus Avast!, assez ironique puisque ce dernier le détecte.
Puis on vous propose d’installer le navigateur internet Opera.
La plateforme de PUP gagne de l’argent à chaque installation réussie et le propriétaire du site touche un pourcentage (affiliation).
Après cela, il vous télécharge l’installeur du vrai logiciel dans votre dossier de téléchargement.
Ensuite, débrouillez pour l’installer.
Avast! qui détecte l’installeur PUP Keepass en Win32:AdwareSig [Adw].
Se protéger des PUP et PUA
Sur le forum, une victime de ce type de site qui ne comprend pas pourquoi, Windows Defender bloque l’installeur et setup.
En effet, la protection contre les applications indésirables détecte ce dernier en PUA:Win32/RelevantKnowledge.
Il faut cependant l’activer :
Enfin l’extension Malwarebytes Browser guard bloque le lien de téléchargement malveillant.
Plus d’informations :
Se protéger de ces PUP n’est pas difficile car les détections des liens malveillants ou de l’exécutable est relativement bon.
Ainsi un antivirus devrait le bloquer sans trop de difficulté.
Liens
Voici le lien général pour éviter et se protéger des programmes et applications potentiellement indésirables :
Enfin l’article général pour se protéger des malwares :