Une application potentiellement indésirable (PUA) ou un programme potentiellement indésirable (PUP) estun logiciel ou un programme qui n'est pas nécessairement malveillant. Cependant, cela peutaffecter négativement votre appareilet l'expérience utilisateur.
Ces applications sont souvent accompagnées de téléchargements gratuits ou d’installations fastidieuses. Une fois installés sur votre appareil, ils peuvent ralentir les performances, vous inonder de publicités, modifier les paramètres du navigateur ou collecter des données sans votre consentement.
Bien qu'il ne s'agisse pas de logiciels malveillants, de chevaux de Troie ou de virus, de PUA et de PUPposent de sérieux problèmes de confidentialité et de sécurité (si rien n’est fait). Par conséquent, il est crucial de le repérer et de le supprimer de votre appareil. Cet article vous explique ce qu'est le PUA et comment s'en débarrasser.
Les applications potentiellement indésirables (PUA), également connues sous le nom de programmes potentiellement indésirables (PUP), sont une catégorie de logiciels qui comprendapplications susceptibles d'être utilisées à mauvais escientpar des acteurs externes malveillants. Ils sont ainsi nommés car ils entrent souvent dans le système d’un utilisateur sans son consentement (c’est-à-dire qu’ils subissent un téléchargement indésirable).
PUP ou PUAne sont pas malveillantsen eux-mêmes et ne représentent pas de risques pour les utilisateurs. Cependant,ils ont des fonctionnalités qui peuvent permettre à un acteur menaçant de faire le malcontre le système ou son propriétaire.
Comment fonctionne un PUA ou un PUP ?
De nombreux programmes peuvent être PUA, en fonction de leurs fonctionnalités. Les outils d’administration système en sont de bons exemples car ils offrent des avantages significatifs au propriétaire du système et permettent de résoudre divers problèmes. Mais, en même temps,ils ont besoin d'un certain degré de privilèges pour être efficaces, ce qui implique souvent de prendre le contrôle de l'application, du système ou du réseau en question..
Ainsi, par exemple, si vous rencontrez des problèmes inattendus qui nécessitent une résolution rapide, certaines suites d'administration système ou programmes de récupération de mot de passe et autres programmes similaires vous aideront.
Ils effectuent des tâches avancées avec beaucoup de simplicité pour un utilisateur relativement inexpérimenté. Cependant, ils accorderont également un haut degré de pouvoir à un agent externe qui saura les activer.
La plupart des utilisateurs ne profitent pas pleinement des fonctionnalités de ces programmes. La plupart du temps, ils apprennent à effectuer une poignée de tâches et laissent le reste inutilisé. Mais toute la puissance du programme reste là, disponible pour que les acteurs malveillants puissent l’exploiter à leur guise.
De plus, la plupart des attaquants n’écrivent pas le code qu’ils utilisent. Au lieu de cela, ils utilisent généralement des outils tiers disponibles sur Internet qu’ils injectent dans un système en tant que charge utile malveillante.Certains adversaires savent comment modifier le contenu original des packers, des crypteurs et des obfuscateurs afin qu'un programme d'installation initialement inoffensif inclue la charge utile malveillante et l'installe sournoisement.
Éviter la détection est la priorité de l’agenda d’une PUA. Puis, une fois installé, il reste silencieux jusqu'à ce qu'il puisse atteindre l'objectif fondamental lorsqu'une attaque survient.
Qu’est-ce qu’une menace PUA ?
Lorsqu'une application potentiellement indésirable atteint votre système, elle peutexécuter diverses activités ennuyeusesavec ou sans préavis. Certaines menaces courantes posées par les PUA incluent :
- Rendre votre ordinateur lent.
- Vous inonder de publicités indésirables.
- Installer d’autres logiciels dont vous ne voulez pas, ou pire.
- Voler vos données les plus sensibles.
Comment les PUA ou les PUP atteignent-ils votre système ?
Acteurs menaçants et criminelsles pirates informatiques abusent fréquemment d’outils légitimes dotés de fonctionnalités puissantes. Étant donné que ces outils appartiennent à des entités par ailleurs légitimes, ils peuvent potentiellement échapper à l’attention des utilisateurs du système cible, même lorsqu’ils sont signalés. Dans le même temps, ils continueront à servir les objectifs visés par les attaquants. Par conséquent, même si ces outils peuvent être utiles, la plupartsuites antivirusconsidérez-les comme des PUA.
Un exemple classique de telles sources de livraison de PUP ou de PUA est leSite Web de NirSoft. Iloffre une grande variété de logiciels d'administration système. Toute une catégorie de ses logiciels se concentre sur la récupération de mots de passe dans des environnements tels que les routeurs, les réseaux sans fil, les clients de messagerie, les navigateurs, etc.Sécurité Xplodedest un autre site proposant des logiciels similaires.
Le catalogue NirSoft « utilitaires de récupération de mot de passe » comprend 28 outils. Ces outils analysent un élément matériel ou un environnement virtuel pour trouver les informations de connexion stockées. Par exemple, le registre Windows était connu dans le passé pour stocker tous les mots de passe possibles sans cryptage.
Les outils de récupération de mot de passe proposés par NirSoft sont d'une simplicité trompeuse. De plus, ils fonctionnent efficacement et peuvent être exécutés à partir de la ligne de commande. La disponibilité de la ligne de commande signifie que vous pouvez les appeler à partir d'un script ou d'un programme, puis collecter la sortie et l'utiliser ou l'enregistrer pour un traitement ultérieur.
Alors, ces outils sont-ils malveillants ? Non,ils sont utiles. Cependant, ils peuvent aussifaciliter un attaquant externe cherchant à voler vos mots de passe. En raison de cette capacité potentiellement malveillante, de nombreuxlogiciel antivirusles fournisseurs génèrent souvent des avertissements lors de la détection de ces outils.
Nir en est conscient. UNArticle de 2015 sur NirBlogde l’auteur de l’outil a admis que divers outils audiovisuels avaient marqué son logiciel comme malveillant. Il a également expliqué que ces applications ne devraient pas être considérées de manière aussi négative.
Alors, que pouvons-nous penser de ce conflit apparent entre le développeur et l’industrie audiovisuelle ? C'est naturel. Le point de vue du développeur est correct mais unique car personne d’autre ne peut véritablement partager ses préoccupations en tant qu’auteur du logiciel.
L’industrie audiovisuelle est également valable en raison de sa situation. La simple utilité du logiciel n’est pas le seul facteur à prendre en compte, comme cela peut l’être pour le développeur.UNbon antivirusdoit informer les utilisateurs de tout ce qui présente un risque pour un système donné.En outre, le message de NirSoft reconnaît que les logiciels antivirus ont commencé à avertir les utilisateurs des outils de récupération de mot de passe en tant qu'applications potentiellement indésirables en 2004. Attendre onze ans pour déposer une plainte à ce sujet semble un peu trop tard.
Considérons une expérience de pensée. Un ordinateur est compromis et l’attaquant charge «chat net" dedans. C'est unoutil légitime. Il est connu pour soncapacité à tester les réseauxet aider au processus de dépannage. Cependant, ilpeut également introduire des portes dérobéesdans le système, permettant l’accès à l’attaquant.
Ainsi, même s’il existe un cas d’utilisation légitime de netcat, les AV le considèrent toujours comme un PUA car il inclut certaines fonctionnalités qui peuvent se retourner contre leur système domestique.
Mais notez que ces programmes antivirus qualifient ces outils simplement de PUA et non de logiciels malveillants. En outre, la plupart des antivirus disposent d'une liste sûre, permettant aux utilisateurs d'exclure certaines applications de la détection antivirus. Ainsi, si Netcat, un outil de récupération de mot de passe ou tout autre logiciel est présent parce que le propriétaire du système le souhaite, le propriétaire peut marquer l'outil comme sûr. Cela rend inutiles les préoccupations de NirSoft concernant le marquage AV.
Armer un PUA
En 2018, le cheval de Troie bancaire Emotet s'est déchaîné, utilisant des outils système légitimes et gratuits pour perpétrer certains crimes numériques. LeUS-CERT alertéfaire connaître au public Emotet, y compris les outils de récupération de mot de passe de NirSoft, dans la liste des contrevenants involontaires.
C’est la pratique courante des logiciels malveillants presque depuis leurs débuts. Mais au fil du temps, de plus en plus d’utilisateurs se connectent. L’utilisation de ces outils augmente d’autant car les groupes de hackers se multiplient également. Par exemple,Bitdefender trouvéNetrepster (un groupe de cyberespionnage) a lancé une attaque ciblée en utilisant des éléments tiers qui pourraient autrement sembler inoffensifs.
Les applications et programmes potentiellement indésirables sont couramment utilisés dans diverses campagnes de logiciels malveillants actives dans la nature. Souvent,ils font partie de la deuxième étape, chargés par un composant du principal lanceur de logiciels malveillants.À ce stade, la plupart des logiciels audiovisuels peuvent les détecter et vous en avertir.
Malheureusement, il n’existe pas de jargon standard pour ces choses. Ainsi, chaque fournisseur les appelle différemment, comme Riskware, ChromePass, PstPassword, NetPass et Dialupass, pour n'en nommer que quelques-uns.
En effectuant une analyse statistique descriptive fondamentale de l’incidence de ces bugs, nous avons constaté que la catégorie NetPass est la plus fréquente. Il comprend trois outils : récupération de mot de passe réseau, IE PassView et Opera PassView.
Nous avons continué à chercher et à observer différents scénarios jusqu'à ce que nous en trouvions un qui illustrait très bien la situation. CeLe logiciel .net est légitime et n'est ni créé ni distribué par un groupe malveillant.. Le nom n'a pas d'importance, mais vous pouvez l'identifier par son hachage MD5,0fd18e3cc8887dc821a9f8c4e481a416. C'est un bon exemple parce queil utilise les outils de NirSoft contre la sécurité d'un système.
Et rappelez-vous que ces choses ne sont pas toujours aussi claires, même pour le meilleur AV. Les cybercriminels tenteront de dissimuler et d’obscurcir leur code pour rester inaperçus le plus longtemps possible. Ils jouent à un jeu d’obscurcissement afin que l’analyse des logiciels malveillants ne les touche pas.
Le détecteur de paquets RDG nous a indiqué que ce logiciel était protégé par un outil commercial, le « Enigma protector ». C'est un service qui protège les fichiers binaires exécutables à des fins de licence afin d'éviter le piratage. Le fait est que les auteurs de logiciels malveillants l’utilisent également pour protéger leur travail.
Ainsi, le malware s’infiltre dans un système. Ensuite, il exécute la deuxième étape de l'attaque en déployant les outils nécessaires. Ensuite, il les exécute via des appels de ligne de commande et enregistre les données collectées pour plus tard. Les processus impliqués étaient « WebBrowserPassView.exe », « mspass.exe » et « ProduKey.exe ».
Une fois que le malware dispose des données souhaitées, il les envoie au serveur C&C à l’aide d’une requête HTTP.
Alors, quelle part des dégâts provient des outils NirSoft ? Et quelle part provient du développeur du malware ? Nous avons déballé l'exemple pour voir son code et attribuer les responsabilités. L'attaque utilise trois outils NirSoft. Cependant, il y a plus. L’auteur de l’attaque dispose de code supplémentaire pour voler d’autres informations d’identification de CoreFT, FileZilla, SmartFTP et quelques autres.
LeLes outils NirSoft récupèrent les mots de passe, mais il existe une couche supplémentaire : ils fourniront également à l'attaquant la clé de produit Windows et la clé de produit Office 2003/2007..
Ainsi, lorsque l'attaquant parvient à ses fins, il collecte des données comprenant la clé de produit, l'utilisateur actuel, la version de Windows, le numéro de série de Windows, ainsi que certains mots de passe et informations d'identification. Donc si c'est réussi,il rassemble suffisamment de données pour vous localiser avec précision sur Internet et usurper votre identité numérique dans plusieurs cas.
Comment éviter les programmes potentiellement indésirables ?
Les outils système autonomes constituent une ressource légitime pour de nombreux acteurs du secteur informatique, en particulier le support informatique. Les outils peuvent obtenir rapidement les résultats dont ils ont besoin, être automatisés et faciliter globalement la vie d’un informaticien.
En effet, si vous regardez les outils de NirSoft et les applications similaires, ils ne sont pas malveillants en eux-mêmes. Au contraire, ce sont des éléments bénéfiques dans le processus d’assistance informatique. Cependant, s’ils sont installés sur votre système, vous devez le savoir. Cela est particulièrement vrai dans les environnements d'entreprise numériques oùles failles de sécurité peuvent avoir des conséquences encore plus sinistres et dommageables.
Et pourquoi les auteurs de logiciels malveillants abusent-ils si facilement des programmes potentiellement indésirables ? C'est parce qu'ils sont bons ! Ils sont utiles, puissants, polyvalents, bien faits et excellent dans l’obtention du résultat attendu. Ainsi, un esprit tordu peut également les trouver très utiles, car ils le sont intrinsèquement.
L'émotionet d'autres menaces de logiciels malveillants avancés deviennent de plus en plus pertinentes à mesure que le nombre croissant de groupes cybercriminels les utilisent pour mener à bien leurs activités.
Contrairement à ces virus ludiques du début des années 90 qui venaient de vous faire une farce, ces PUA actuels sont là pour rester car ils sont utiles, polyvalents et puissants. Ils peuvent vous faire du mal, maisvous offre également un service précieux en cas de besoin. Et les méchants continueront à les utiliser à leur avantage.