PUP : sites malveillants pour télécharger Keepass, qBittorrent, 7-zip, inskape, …

Le principe n'est pas nouveau mais voici un petit rappel de vigilance.
Pour faire de l'argent, certains n'hésitent pas à distribuer des logiciels repackés.
C'est à dire des setup et installeur qui vont vous proposer des programmes potentiellement indésirables PUP.
Notamment PUA:Win32/RelevantKnowledge et Adware.TekhNetvork.
Les logiciels open source libres de diffusion en sont souvent la cible.

Voici un exemple de sites malveillants pour télécharger Keepass, qBittorrent, 7-zip qui au final sont là pour refiler des programmes potentiellement indésirables (PUP / PUA).

PUP : sites malveillants pour télécharger

PUP : sites malveillants pour télécharger Keepass, qBittorrent, unetbootin, inskape, …

En rédigeant le tutoriel de Keepass, je suis tombé dessus.
Il faut dire que lorsque l'on fait une recherche, le site est assez bien placé.
En effet, on trouve le site malveillant keepass.fr avant le site officiel kepass.info.

Faux site de téléchargement malveillant de KeePass
Faux site de téléchargement malveillant de KeePass

Le propriétaire décline différentes logiciels open source avec les sites suivants.
Les sites de PUP et PUA sur l'adresse IP 185.46.231.225 :

www.qbittorrent.com
gparted.fr
blender3d.fr
www.celestia.fr
www.blender3d.fr
unetbootin.net
www.gparted.fr
inkscape.fr
www.unetbootin.net
www.inkscape.fr
celestia.fr
www.keepass.fr
keepass.fr
qbittorrent.com
www.paintnet.it
paintnet.it
stellarium.es
www.stellarium.es

Sur 185.46.231.224, on trouve aussi un faux site fillezilla et des versions italiennes.

2019-12-13 www.celestia.es
2019-12-13 unetbootin.org
2019-12-13 celestia.es
2019-12-13 www.filezilla.fr
2019-12-13 filezilla.fr
2019-12-12 www.unetbootin.org
2019-12-03 pdfsam.com
2019-12-03 www.pdfsam.com
2019-10-26 www.telecharger-calibre.fr
2019-10-26 scribus.it 
2019-10-26 keepass.it
2019-10-26 telecharger-calibre.fr
2019-10-26 gparted.it
2019-10-26 truecrypt.it
2019-10-19 www.truecrypt.it
2019-10-19 www.gparted.it
2019-10-19 www.scribus.it
2019-10-19 www.keepass.it

et sur 185.46.231.54, on trouve du 7zip, greenshot, adblock :

2019-03-30 notepad2.com
2019-03-29 greenshot.org
2019-03-29 7zip.fr
2019-03-28 qbittorrent.com
2019-03-28 www.qbittorrent.com
2019-03-27 audacity.es
2019-03-27 paintnet.fr
2019-03-27 7zip.es
2019-03-27 keepass.fr
2019-03-26 greenshot.fr
2019-03-25 audacity.fr
2019-03-24 freefilesync.com
2019-03-24 adblock.fr
2019-03-24 www.adblock.fr
2019-03-24 www.open-office.fr

Tous ne redirigent pas vers du contenu malveillant, mais en général oui.

La présentation est alors la même.
Notez le lien de téléchargement plutôt suspicieux.

Faux site de téléchargement malveillant gparted
Faux site de téléchargement malveillant cyberduck
Faux site de téléchargement malveillant greenshot

Les sites appartiennent à DATA ACCESS S.A.R.L dont le siège est en France.
L'éditeur est In Profit Limited enregistré à Hong Kong.
Le nom parle de lui même.

Adware.TekhNetvork et PUA.Win32.RelevantKNowledge

L'exécutable est détecté en Adware.TekhNetvork ou PUA.Win32.RelevantKNowledge.
On trouve aussi beaucoup de détection générique comme Adware.BundleInstaller

Le setup de PUP propose d'installer l'antivirus Avast!, assez ironique puisque ce dernier le détecte.

Puis on vous propose d'installer le navigateur internet Opera.

La plateforme de PUP gagne de l'argent à chaque installation réussie et le propriétaire du site touche un pourcentage (affiliation).

Après cela, il vous télécharge l'installeur du vrai logiciel dans votre dossier de téléchargement.
Ensuite, débrouillez pour l'installer.

Avast! qui détecte l'installeur PUP Keepass en Win32:AdwareSig [Adw].

Avast! détecte Win32:AdwareSig [Adw] sur le faux installeur Keepass

Se protéger des PUP et PUA

Sur le forum, une victime de ce type de site qui ne comprend pas pourquoi, Windows Defender bloque l'installeur et setup.

En effet, la protection contre les applications indésirables détecte ce dernier en PUA:Win32/RelevantKnowledge.
Il faut cependant l'activer :

Windows Defender détecte la menace PUA:Win32/RelevantKnowledge

Enfin l'extension Malwarebytes Browser guard bloque le lien de téléchargement malveillant.
Plus d'informations :

Malwarebytes Browser guard bloque le site malveillant

Se protéger de ces PUP n'est pas difficile car les détections des liens malveillants ou de l'exécutable est relativement bon.
Ainsi un antivirus devrait le bloquer sans trop de difficulté.

Liens

Voici le lien général pour éviter et se protéger des programmes et applications potentiellement indésirables :

Enfin l'article général pour se protéger des malwares :

Tags:,