Prague, République tchèque, 28 juin 2022 - Avast (LSE:AVST), leader mondial des solutions de sécurité et de protection de la confidentialité en ligne, vient de mettre au jour une communauté en ligne de mineurs qui génèrent, échangent et diffusent des programmes malveillants (malwares), dont des rançongiciels (ransomwares) et d’autres conçus pour voler des informations et miner des cryptomonnaies. Les initiateurs de ce groupe attirent les jeunes utilisateurs en leur proposant d’accéder à plusieurs builders ou générateurs de malwares et à des kits de développement qui permettent aux néophytes de fabriquer facilement des programmes malveillants. Dans certains cas, les utilisateurs doivent acheter cet accès aux outils afin d’intégrer le groupe, dans d’autres, ils deviennent membres dudit groupe où l’outil leur est fourni moyennant 5 à 25 €.
La communauté utilise des serveurs Discord dédiés en tant qu’espace de discussion et de vente afin de diffuser des familles de malware telles que Lunar, Snatch ou Rift, proposés comme service payant selon le principe actuellement en vogue du malware-as-a-service (MaaS). Comme l’a constaté Avast, plusieurs indices informent sur l’âge des participants au sein de ces espaces de discussion, avec des insultes autour de l’âge qui sont monnaie courante, des enfants qui parlent de leur envie de pirater leurs enseignants et le réseau de leur école, ou qui mentionnent leurs parents lors de leurs conversations. Également, il y a de fortes indications que de nombreux enfants du groupe Lunar Discord sont français, comme l'ont signalé les chercheurs en logiciels malveillants d'Avast. Certains enfants ont mentionné être français dans les conversations, communiquaient en français et ont montré des captures d'écran de leur ordinateur avec des paramètres en langue française. Un des groupes Discord spécialisé dans la vente du programme Lunar comportait plus de 1 500 utilisateurs, dont 60 à 100 avaient le rôle de client puisqu’ils payaient pour obtenir leur builder. Le coût de ces outils générateurs de malwares varie selon leur type et leur durée d’utilisation.
Les types de malwares que les adolescents s’échangent ciblent autant les mineurs que les adultes et peuvent permettre, selon l’option choisie, de voler des mots de passe et données personnelles, miner des cryptomonnaies, et même diffuser des rançongiciels. Si un client achète un outil builder et choisit de s’en servir pour voler des données, l’échantillon généré et distribué par ses soins lui transmettra les données volées par le programme en question. Ou, si un client utilise un outil pour générer un échantillon de rançongiciel, c’est vers son portefeuille de cryptomonnaies que sa victime sera invitée à envoyer la rançon exigée. Les autres fonctions clés incluent le vol de comptes de gaming, l’effacement de dossiers Fortnite ou Minecraft, ou encore le lancement à répétition d’un navigateur web contenant du contenu pour adultes, apparemment dans le seul but de jouer un mauvais tour à autrui.
« Ces communautés peuvent avoir un fort pouvoir d’attractivité aux yeux des plus jeunes et des adolescents puisque le piratage a une image d’activité cool et ludique. Les builders de malwares permettent, pour un prix abordable, de pirater quelqu’un puis de s’en vanter auprès de ses amis, et même de se faire de l’argent facile au moyen de rançongiciels, de minage de cryptomonnaies ou en vendant les données d’autres personnes », prévient Jan Holman, chercheur spécialiste des programmes malveillants chez Avast. « Or ces agissements sont loin d’être bénins, puisqu’ils constituent un délit. Leurs conséquences sur les plans personnel et juridique peuvent être terribles, surtout si ces enfants exposent au grand jour leur identité en ligne ou celle de membres de leur famille, ou si le malware acheté infecte l’ordinateur de l’enfant, rendant les membres de sa famille vulnérables lorsqu’ils utilisent l’appareil infecté. Leurs données, qui peuvent être des comptes en ligne et des coordonnées bancaires, sont alors récupérables par des cybercriminels », conclut Jan Holman.
Après avoir acheté et compilé leur échantillon personnalisé de programme malveillant, certains clients se servent de YouTube pour le commercialiser et le diffuser. Les experts d’Avast ont ainsi vu des clients mettre en ligne une vidéo YouTube prétendant donner des informations concernant un jeu cracké ou des astuces d’utilisation de codes de triche ou cheat codes, avec des liens de redirection automatique. Ces URL pointaient en fait vers le programme malveillant, sans le dire bien évidemment. Pour inspirer confiance, ces clients malintentionnés demandaient à d’autres utilisateurs de Discord de laisser un « j’aime » à leur vidéo et de la commenter, afin qu’elle paraisse authentique et bien intentionnée. Dans certains cas, ils ont même demandé à des tiers d’indiquer de ne pas s’inquiéter si leur logiciel antivirus signalait le fichier comme étant malveillant, car il s’agirait alors d’un faux positif.
« Cette technique est assez insidieuse, parce qu’au lieu de faux comptes et de bots, les personnes sont exploitées pour blanchir du contenu malveillant. Puisque des comptes authentiques s’associent pour déposer de vrais commentaires positifs au sujet d’un contenu particulier, le lien malveillant inspire finalement confiance, au point d’inciter un plus grand nombre de tiers à le télécharger sans se douter du piège », commente Jan Holman.
Grâce à sa surveillance des communautés en ligne, Avast a découvert que les membres de ce groupe n’ont pas tous les mêmes buts : certains se serrent les coudes, percevant leurs activités cybercriminelles comme une farce ou un moyen de s’emparer d’informations personnelles et de sommes d’argent. D’autres groupes sont moins calmes : bagarres, instabilité et harcèlement y sont récurrents, parfois avec des lancements de défis où certains n’hésitent pas à s’approprier la base de code source de leur adversaire, voire à orchestrer une intense campagne de dénigrement le concernant.
Les builders de malware sont des outils qui permettent aux utilisateurs de générer des fichiers malveillants sans avoir à programmer quoi que ce soit. En général, les utilisateurs doivent uniquement choisir les fonctionnalités dont ils ont besoin et personnaliser certains détails, par exemple l’icône. Plusieurs familles de malware générés par des outils builder disposent d’une interface utilisateur similaire, avec des variantes au niveau de l’affichage, de la palette de couleurs, des noms et des logos. Il s’agit généralement de projets éphémères basés sur du code source provenant de GitHub ou d’une autre plate-forme de développement, portant simplement un nouveau logo et un nouveau nom, et parfois légèrement adaptés ou modifiés au moyen de nouvelles fonctionnalités.
Avast dispose de systèmes de détection pour protéger les utilisateurs des échantillons diffusés via les serveurs Discord identifiés et a contacté la communauté concernée pour parler ouvertement des agissements de ces groupes. Les responsables de Discord ont confirmé avoir pris des mesures pour réguler ces types de communautés, interdisant les serveurs pointés par les experts d’Avast.
Il est essentiel d’apprendre aux plus jeunes à faire preuve d’esprit critique face à des offres alléchantes, par exemple des nouvelles fonctionnalités pour un jeu qui ne sont pas proposées par les circuits commerciaux officiels, ou des versions en avant-première de jeux populaires. Les parents doivent également convaincre leurs enfants de l‘importance des mots de passe, qui ne doivent jamais être communiqués à un tiers, même si celui-ci affirme être leur ami ou un gamer expert apportant son aide. Il faut expliquer aux plus jeunes qu’ils ne doivent jamais communiquer d’information personnelles lorsqu’ils jouent sur des plateformes multi-joueurs telles que Discord ou au jeu Minecraft. De plus, les enfants doivent être aussi guidés sur ce qui se fait ou non sur le plan éthique dans un environnement virtuel. Ce qui peut sembler relever de l’aventure et du jeu peut avoir des conséquences désastreuses sur autrui et constituer un délit à part entière. Les plus jeunes peuvent se croire à l’abri de la justice puisqu’ils ne sont pas majeurs, mais en cas de problème, ce sont leurs parents qui seront responsables de leurs actes. Il est indispensable de parler de ces sujets avec sa progéniture.
Discord a par ailleurs indiqué à Avast avoir recommandé aux parents de personnaliser les paramètres des ordinateurs de leurs enfants afin qu’ils ne reçoivent pas de messages envoyés par des personnes inconnues. D’autres conseils de sécurité sont accessibles aux familles sur le blog de Discord.
Pour en savoir plus sur l’enquête d’Avast, rendez-vous sur : https://blog.avast.com/kids-discord-hacking-groups