Cheval de Troie - Virus ou malware ?

Qu'est-ce qu'un cheval de Troie ? 

Méfiez-vous des Grecs portant des cadeaux : Dans le poème épique de Virgile, L'Énéide, un stratège de guerre grec astucieux nommé Ulysse conçoit un plan pour faire entrer ses hommes dans la cité fortifiée de Troie. Plutôt que de détruire ou d'escalader les murs de la ville, Ulysse voit une autre voie d'entrée : par la tromperie. Les soldats de Troie observent les Grecs qui semblent s'éloigner à la voile, laissant derrière eux un gigantesque cheval de bois en guise de reddition. Ivre de victoire, les Troyens amènent le cheval à l'intérieur de leurs murs, pour découvrir Ulysse et ses hommes cachés à l'intérieur depuis tout ce temps.

Comme son homonyme, le cheval de Troie est un type de logiciel malveillant qui utilise la tromperie et l'ingénierie sociale pour amener des utilisateurs peu méfiants à exécuter des programmes informatiques apparemment inoffensifs qui cachent des intentions malveillantes. Bien qu'il ne s'agisse pas techniquement de virus informatiques, mais plutôt d'une forme distincte de logiciel malveillant, l'expression "virus cheval de Troie" est devenue une manière courante de s'y référer. 

Comment caractériser un Trojan

Les gens pensent parfois qu'un cheval de Troie est un virus ou un ver, mais ce n'est ni l'un ni l'autre. Un virus est un infecteur de fichier qui peut se répliquer et se propager en s'attachant à un autre programme. Les vers sont un type de logiciel malveillant similaire aux virus, mais ils n'ont pas besoin d'être attachés à un autre programme pour se propager. La plupart des virus sont désormais considérés comme des menaces anciennes. Les vers sont également devenus rares, bien qu'ils apparaissent de temps à autre. 

« Un Trojan peut être comme un couteau suisse du piratage. »

Les chevaux de Troie sont un terme générique pour désigner la diffusion de logiciels malveillants , car il en existe plusieurs sortes. Selon l'intention du programmeur criminel, un cheval de Troie peut être comme un couteau suisse du piratage, agissantcomme un logiciel malveillant autonome ou comme un outil pour d'autres activités, telles que la livraison de charges utiles futures, la communication avec le hacker ou ouvrir le système à des attaques, comme l'ont fait les soldats grecs à l'intérieur de la forteresse troyenne.

En d'autres termes, un cheval de Troie est une stratégie de diffusion que hackers utilisent pour transmettre un certain nombre de menaces, du ransomware qui réclame immédiatement de l'argent au spyware qui se dissimule tout en volant des informations précieuses telles que des données personnelles et financières.

N'oubliez pas que les logiciels publicitaires ou les PUP (programmes potentiellement indésirables) peuvent être confondus avec les chevaux de Troie car leur méthode de diffusion est similaire. Par exemple, il arrive qu'un logiciel publicitaire se glisse sur votre ordinateur dans le cadre d'un ensemble de logiciels. Vous pensez télécharger un seul logiciel, mais il s'agit en fait de deux ou trois. Les auteurs des programmes incluent généralement les logiciels publicitaires pour des raisons de marketing d'affiliation, afin de pouvoir monétiser leur programme d'installation avec des offres, généralement clairement identifiées. Ces logiciels publicitaires groupés sont généralement moins malveillants que les chevaux de Troie. En outre, ils ne se dissimulent pas comme le font les chevaux de Troie. Mais comme le vecteur de distribution des logiciels publicitaires ressemble à celui d'un cheval de Troie, il peut prêter à confusion.

Symptômes d'un virus Trojan

Les Trojan peuvent ressembler à peu près à n'importe quoi, d'un logiciel gratuit et de la musique, à des publicités de navigateur à des applications apparemment légitimes. Divers comportements peu judicieux des utilisateurs peuvent mener à une infection par un Trojan. Voici quelques exemples :

• Télécharger des applications piratées. Les promesses d'une copie gratuite et illégale d'un logiciel peuvent être séduisantes, mais le logiciel piraté ou le générateur de clé d'activation peut cacher une attaque de Trojan.
• Télécharger des programmes gratuits inconnus. Ce qui ressemble à un jeu ou un écran de veille gratuit pourrait vraiment être un Trojan, surtout si vous le trouvez sur un site peu fiable.
• Ouvrir des pièces jointes infectées. Vous recevez un email étrange avec ce qui semble être une pièce jointe importante, comme une facture ou un reçu de livraison, mais il lance un Trojan lorsque vous cliquez dessus.
• Visiter des sites web douteux. Certains sites n'ont besoin que d'un instant pour infecter votre ordinateur. D'autres utilisent des astuces comme prétendre streamer un film populaire, mais seulement si vous téléchargez un certain codec vidéo, qui est en fait un Trojan.
• Toute autre ingénierie sociale qui se déguise en profitant des dernières tendances. Par exemple, en décembre 2017, on a découvert qu'une vaste base installée de processeurs Intel était vulnérable aux attaques en raison de problèmes matériels. Hackers ont tiré parti de la panique qui s'en est suivie en simulant un correctif appelé Smoke Loader, qui a installé un cheval de Troie.

Actualités du cheval de Troie

• SharkBot cheval de Troie bancaire Android vide les comptes des utilisateurs
• Source du Trojan : Cacher un code malveillant à la vue de tous
• Le cheval de Troie Polazert utilise des résultats de recherche Google empoisonnés pour se propager
• Bizarro : un cheval de Troie bancaire plein de vilains tours
• Le Trojan Android xHelper utilise des tactiques de réinfection persistantes : voici comment le supprimer
• Une nouvelle version du cheval de Troie IcedID utilise des charges utiles stéganographiques
• Un nouveau cheval de Troie Android découvert dans Google Play
• Les Trojans : Qu'en est-il vraiment ?

Histoire du virus Cheval de Troie

Amusement et jeux

Un programme appelé ANIMAL, sorti en 1975, est généralement considéré comme le premier exemple au monde d'une attaque de cheval de Troie. Il se présentait comme un simple jeu basé sur le concept des vingt questions. Cependant, en coulisses, le jeu se copiait dans des répertoires partagés où d'autres utilisateurs pouvaient le trouver. De là, le jeu pouvait se propager à travers des réseaux informatiques entiers. Dans l'ensemble, c'était un canular inoffensif.

En décembre 1989, les attaques de chevaux de Troie n'étaient plus des farces. Plusieurs milliers de disquettes contenant le cheval de Troie AIDS, le premier rançongiciel connu, ont été envoyées aux abonnés du magazine PC Business World et à une liste de diffusion de la conférence de l'Organisation mondiale de la santé sur le SIDA. Ce cheval de Troie DOS restait inactif pendant 90 cycles de démarrage, cryptait tous les noms de fichiers du système, puis affichait un avis demandant à l'utilisateur d'envoyer 189 dollars à une boîte postale au Panama afin de recevoir un programme de décryptage.

Dans les années 1990, un autre cheval de Troie infâme est apparu déguisé en jeu de Whack-A-Mole. Le programme cachait une version de NetBus, un programme qui permet de contrôler à distance un système informatique Microsoft Windows via un réseau. Avec un accès à distance, l'attaquant pouvait faire n'importe quoi à l'ordinateur, même ouvrir son lecteur de CD.

Amour et argent

En 2000, un cheval de Troie appelé ILOVEYOU est devenu l'attaque cybernétique la plus destructrice de l'histoire à l'époque, avec des dommages estimés jusqu'à 8,7 milliards de dollars. Les destinataires recevaient un e-mail avec ce qui semblait être une pièce jointe texte nommée "ILOVEYOU". S'ils étaient assez curieux pour l'ouvrir, le programme lançait un script qui écrasait leurs fichiers et s'envoyait à chaque email de la liste de contacts de l'utilisateur. Aussi intelligent que soit le ver d'un point de vue technique, l'utilisation de l'ingénierie sociale était probablement son composant le plus ingénieux.

Tout au long des années 2000, les attaques de chevaux de Troie ont continué à évoluer, tout comme les menaces qu'elles véhiculaient. Au lieu de cibler la curiosité des gens, les chevaux de Troie ont tiré parti de l'essor du téléchargement illégal, en déguisant les logiciels malveillants en fichiers musicaux, en films ou en codecs vidéo. En 2002, un cheval de Troie à porte dérobée Windows, appelé Beast, est apparu et était capable d'infecter presque toutes les versions de Windows. Puis, fin 2005, un autre cheval de Troie à porte dérobée appelé Zlob a été distribué déguisé en codec vidéo requis sous la forme d'ActiveX.

Les années 2000 ont également vu une augmentation du nombre d'utilisateurs de Mac, et les cybercriminels ont suivi le mouvement. En 2006, la découverte du tout premier malware pour Mac OS X, un cheval de Troie de faible menace connu sous le nom de OSX/Leap-A ou OSX/Oompa-A, a été annoncée.

Les motivations derrière les attaques de Trojans ont également commencé à changer à cette époque. Beaucoup de cyberattaques précoces étaient motivées par un désir de pouvoir, de contrôle ou de pure destruction. Dans les années 2000, un nombre croissant d'attaques étaient motivées par la cupidité. En 2007, un cheval de Troie nommé Zeus a été conçu pour cibler Microsoft Windows afin de voler des informations bancaires au moyen d'un keylogger. En 2008, des hackers ont libéré Torpig, également connu sous le nom de Sinowal et Mebroot, qui désactivait les applications antivirus, permettant à d'autres de accéder à l'ordinateur, modifier des données, et voler des informations confidentielles telles que des mots de passe et d'autres données sensibles.

Plus gros et plus méchant

À l'aube des années 2010, la cybercriminalité est restée très gourmande, mais hackers ont commencé à voir plus grand. L'essor des crypto-monnaies intraçables comme le bitcoin a entraîné une augmentation des attaques par ransomware. En 2013, le cheval de Troie Cryptolocker a été découvert. Cryptolocker crypte les fichiers du disque dur de l'utilisateur et exige le paiement d'une rançon au développeur afin de recevoir la clé de décryptage. La même année, un certain nombre de chevaux de Troie copieurs de ransomwares ont également été découverts.

« De nombreux chevaux de Troie dont nous entendons parler aujourd'hui ont été conçus pour cibler une entreprise, une organisation ou même un gouvernement en particulier. »

Les années 2010 ont également vu un changement dans la manière dont les victimes sont ciblées. Bien que de nombreux chevaux de Troie utilisent toujours une approche généralisée, tentant d'infecter le maximum d'utilisateurs possible, une approche plus ciblée semble être en hausse. De nombreux chevaux de Troie dont nous entendons parler aujourd'hui ont été conçus pour cibler une entreprise, une organisation ou même un gouvernement en particulier. En 2010, Stuxnet, un cheval de Troie Windows, a été détecté. Il a été le premier ver à attaquer des systèmes de contrôle informatisés, et il y a des suggestions que son but était de cibler les installations nucléaires iraniennes. En 2016, le Tiny Banker Trojan (Tinba) a fait les gros titres. Depuis sa découverte, il a été trouvé qu'il avait infecté plus de deux douzaines de grandes institutions bancaires aux États-Unis, y compris TD Bank, Chase, HSBC, Wells Fargo, PNC et Bank of America. En 2018, le cheval de Troie Emotet, autrefois un Trojan bancaire à part entière, a été vu en train de distribuer d'autres types de malware, y compris d'autres chevaux de Troie.

En tant que l'une des méthodes les plus anciennes et les plus courantes pour livrer des malware, l'histoire des chevaux de Troie suit l'histoire de la cybercriminalité elle-même. Ce qui a commencé comme un moyen de faire des farces à ses amis s'est transformé en moyen de détruire des réseaux, voler des informations, faire de l'argent et prendre le pouvoir. Les jours des plaisanteries sont depuis longtemps révolus. Au lieu de cela, ils continuent d'être des outils cybercriminels sérieux utilisés principalement pour le vol de données, l'espionnage et les attaques par Déni de Service Distribué (DDoS).

Quels sont les différents types de chevaux de Troie ?

Les Trojan sont polyvalents et très populaires, donc il est difficile de caractériser chaque type. Cela dit, la plupart des chevaux de Troie sont conçus pour prendre le contrôle de l'ordinateur d'un utilisateur, voler des données, espionner les utilisateurs ou insérer plus de malware sur l'ordinateur d'une victime. Voici quelques menaces courantes qui proviennent des attaques de chevaux de Troie :

• Backdoors, qui créent un accès distant à votre système. Ce type de malware modifie votre sécurité pour permettre au hacker de contrôler l'appareil, voler vos données, et même télécharger plus de malware.
• Spyware, qui observe lorsque vous accédez à des comptes en ligne ou entrez vos détails de carte de crédit. Ensuite, ils transmettent vos mots de passe et d'autres données d'identification au hacker.
• Les chevaux de Troie zombificateurs, qui prennent le contrôle de votre ordinateur pour en faire l'esclave d'un réseau sous le contrôle du hacker. C'est la première étape de la création d'un botnet (robot + réseau), qui est souvent utilisé pour effectuer une attaque par déni de service distribué (DDoS) destinée à mettre hors service un réseau en l'inondant de trafic.
• Les chevaux de Troie téléchargeurs, dont Emotet est un bon exemple, téléchargent et déploient d'autres modules malveillants, tels que des logiciels rançonneurs ou des enregistreurs de frappe.
• Les Trojan Dialer, qui peuvent sembler anachroniques puisque nous n'utilisons plus de modems dial-up. Mais plus à ce sujet dans la section suivante.

Applications trojanisées sur les smartphones Android

Les Trojan ne sont pas seulement un problème pour les ordinateurs portables et de bureau. Ils attaquent également les appareils mobiles, ce qui a du sens étant donné la cible attrayante présentée par les milliards de téléphones en utilisation.

Comme avec les ordinateurs, le Trojan se présente comme un programme légitime, bien qu'il soit en fait une fausse version de l'application pleine de malware.

Ces Trojans se tapissent habituellement sur des marchés d'applications non officiels et pirates, incitant les utilisateurs à les télécharger. Les Trojan couvrent toute la gamme des méfaits, infectant le téléphone avec des publicités et des keyloggers, qui peuvent voler des informations. Les Trojan Dialer peuvent même générer des revenus en envoyant des SMS premium.    

« Les extensions de navigateur peuvent aussi agir comme des chevaux de Troie... »

Android ont été victimes d'applications troyennes, même à partir de Google Play, qui analyse et purge en permanence les applications armées (souvent après la découverte du cheval de Troie). Les extensions de navigateur peuvent également agir comme des chevaux de Troie, puisqu'il s'agit d'une charge utile capable de transporter un code malveillant intégré.

Alors que Google peut supprimer les extensions de navigateur des ordinateurs, sur les téléphones, les chevaux de Troie peuvent placer des icônes transparentes à l'écran. Elles sont invisibles pour l'utilisateur, mais réagissent néanmoins à une pression pour lancer leur malware.

Quant aux utilisateurs d'iPhone, il y a de bonnes nouvelles : les politiques restrictives d'Apple concernant l'accès à l'App Store, iOS et toute autre application sur le téléphone protègent efficacement contre les incursions de chevaux de Troie. La seule exception concerne ceux qui jailbreak leur téléphone pour télécharger des applications gratuites ailleurs que sur l'App Store. Installer des applications risquées en dehors des réglages d'Apple vous rend vulnérable aux chevaux de Troie.

Comment supprimer un virus Trojan ?

Une fois qu'un cheval de Troie infecte votre appareil, le moyen le plus universel pour le nettoyer et le restaurer est d'utiliser un outil anti-malware automatisé de bonne qualité et de faire un scan complet du système. Si vous craignez une infection par un cheval de Troie, vous pouvez essayer notre scanner gratuit de chevaux de Troie pour vérifier votre appareil. 

Il existe de nombreux programmes antivirus et anti-malware gratuits — y compris nos propres produits pour Windows, Android et Mac — qui détectent et éliminent les publiciels et logiciels malveillants. En fait, Malwarebytes détecte tous les chevaux de Troie connus et plus encore, car 80 % de la détection de chevaux de Troie est réalisée par analyse heuristique. Nous aidons même à atténuer toute infection supplémentaire en coupant la communication entre le malware inséré et tout serveur de backend, ce qui isole le cheval de Troie. Notre outil gratuit de lutte contre les malwares scannera et éliminera les malwares existants, et notre produit premium scannera et protégera de manière proactive contre les malwares comme les chevaux de Troie, les virus, les vers et les ransomwares. Vous pouvez commencer par un essai gratuit de nos produits premium pour les tester vous-même.    

Comment prévenir un virus Trojan ?

Comme les chevaux de Troie comptent sur la tromperie pour pénétrer dans l'ordinateur, la plupart des infections peuvent être évitées en restant vigilant et en observant de bonnes habitudes de sécurité. Adoptez un scepticisme sain envers les sites web proposant des films gratuits ou des jeux d'argent, et préférez télécharger des programmes gratuits directement depuis le site du producteur plutôt que des miroirs non autorisés.

Une autre précaution à envisager : modifiez les paramètres par défaut de Windows pour que les extensions réelles des applications soient toujours visibles. Cela évite d'être trompé par une icône innocente.

D'autres bonnes pratiques, en plus d'installer Malwarebytes pour Windows, Malwarebytes pour Android et Malwarebytes pour Mac, incluent :

• Effectuer des analyses de diagnostic périodiques
• Configurer les mises à jour automatiques de votre logiciel système d'exploitation, pour garantir que vous ayez les dernières mises à jour de sécurité
• Maintenir vos applications à jour, pour s'assurer que toutes les vulnérabilités de sécurité sont corrigées
• Éviter les sites web dangereux ou suspects
• Se méfier des pièces jointes et des liens non vérifiés dans des emails inconnus
• Utiliser des mots de passe complexes
• Rester derrière un pare-feu

Comment Malwarebytes Premium vous protège

Chez Malwarebytes, nous prenons la prévention des infections très au sérieux, c'est pourquoi nous bloquons agressivement à la fois les sites web et les publicités que nous considérons frauduleux ou suspects. Par exemple, nous bloquons les sites de torrents comme The Pirate Bay. Bien que de nombreux utilisateurs avertis aient utilisé ces sites sans problème, certains des fichiers qu'ils proposent en téléchargement sont en réalité des chevaux de Troie. Pour des raisons similaires, nous bloquons également le cryptominage via les navigateurs, mais l'utilisateur peut choisir de désactiver le blocage et se connecter.

Notre raisonnement est qu'il vaut mieux être prudent. Si vous souhaitez prendre des risques, il est facile de mettre un site en liste blanche, mais même les adeptes de la technologie peuvent se laisser duper par un cheval de Troie convaincant.

Pour en savoir plus sur les chevaux de Troie, les logiciels malveillants et autres cybermenaces, consultez le blog Malwarebytes Labs. Les choses que vous apprendrez pourraient bien vous aider à éviter une infection à l'avenir.