Menu Fermer

Les PUPs distribuent maintenant des ransomwares

Les PUPs (pour Potentially Unwanted Programs) ou plateformes de programmes potentiellement indésirables sont maintenant très bien connus des internautes.
Il s’agit de programmes qui visent à proposer des programmes additionnels, très souvent des adwares ou des Browser Hijacker.

Il existe plusieurs plateformes différentes, certaines ont disparus et d’autres sont encore présentes.
Par exemples des plateformes comme InstallCore qui ont été capables d’obtenir des accords avec des sites de téléchargement comme telecharger.com ou clubic.com.
Certaines autres sont utilisés lors de l’installation de uTorrent pour refiler Web Companion qui va modifier les pages de démarrage des navigateurs WEB.
Enfin, il existe des plateformes de PUPs plus proches des malwares plus confidentiels.
En effet, il est arrivé que parfois ces dernières distribuent des trojan.
Le mode de distribution est plutôt des faux sites de cracks ou keygen.

Dernièrement, ces plateformes distribuent des crypto-ransomwares.
D’où une nouvelle recrudescence de ces derniers sur les forums de désinfection depuis quelques semaines.

Les PUPs distribuent maintenant des ransomwares

Les PUPs plus noirs ont très vite distribués toutes sortes de logiciels de plus en plus proches de logiciels malveillants.
En effet, le but est de rester le plus longtemps sur l’ordinateur pour maximiser les revenus.
Rendre l’adware invisible ou difficile à éradiquer permet de s’assurer cela.

Ainsi des adwares très virulents ont pu être utilisés, certains utilisant des techniques de rootkits : Pilotes “bsdriver.sys” & “cherimoya.sys” : abengine ou Adwares v-bates et possible patch dnsapi.dll
Par la suite, des cheval de troie ont été installés par ces plateformes de PUPs.

Les PUPs distribuent maintenant des ransomwares

Comme souvent, le glissement s’est fait petit à petit.
Si au départ, on avait plutôt affaire à des Browser Hijacker ou Adwares peu virulents, petit à petit, des adwares et menaces sophistiqués ont été distribués.
Enfin des trojan sont apparus pour arriver maintenant à des ransomwares.

Dans le cas observé, nous nous intéressons à la plateforme sur un Windows 10.
Il faut savoir que Windows Defender capte quelque des menaces déployées, donc il a été désactivé.
De plus le navigateur WEB filtre aussi le téléchargement.
En clair donc pour infecter son ordinateur via ces faux cracks, il faut vraiment le vouloir.

Les PUPs distribuent maintenant des ransomwaresLes PUPs distribuent maintenant des ransomwares

Setup pour adwares et PUPs

Voici une capture de l’écran du crack qui s’avère être le setup de la plateforme de PUP.
Le but ici est de se faire en partie passer pour un programme d’installation classique.
Des conditions d’utilisateurs sont mêmes présents et il est possible de décocher les programmes à installer.

Les PUPs distribuent maintenant des ransomwaresToute sorte d’adwares et logiciels publicitaires, malveillants et additionnels vont être installés par ce setup de PUP :

  • OnlineApp (Adware)
  • TweakMaster
  • ShareFolder
  • ProxyGate (Adware) qui installe un proxy sur l’ordinateur pour injecter des publicités.
  • Wajam
  • CoinMiner
  • et bien d’autres adwares et logiciels additifs selon le circuit qui sera utilisé.

Bref ce pack installe beaucoup de choses, de quoi mettre un sacré bazar dans Windows.

Les PUPs distribuent maintenant des ransomwares

Les PUPs distribuent maintenant des ransomwares

On trouve aussi le Browser Hijacker SafeFinder ou Adware.Linkury qui très connu depuis plusieurs années.

Les PUPs distribuent maintenant des ransomwares

Voici une capture d’écran de quelques processus malveillants.
On voit que l’antivirus 360 Total Security tente d’être installés par ce pack.

Les PUPs distribuent maintenant des ransomwares

Les PUPs distribuent maintenant des ransomwares

Juste que là rien de vraiment nouveau puisque cela fait des années que ce PUP existe.

Et les ransomwares fut

Durant l’installation des logiciels malveillants, Windows Defender détecte Trojan:Win32/Grandcrab!rfn.
Il s’agit du crypto-ransomware Grandcrab qui refait un retour depuis quelques semaines.

Les PUPs distribuent maintenant des ransomwares

D’après les désinfections sur les forums, il semblerait que ce ne soit pas toujours la même famille.

Comme c’est souvent le cas, les internautes qui téléchargent un peu tout et n’importe quoi vont être les premières victimes.