Faux VPN sur GitHub : une nouvelle vague de logiciels espions déjoue la vigilance des internautes

Des chercheurs en cybersécurité tirent la sonnette d’alarme : des campagnes malveillantes exploitent la popularité de GitHub pour diffuser des logiciels espions déguisés en VPN gratuits ou en utilitaires pour jeux vidéo. Derrière ces logiciels séduisants, se cache une menace bien réelle pour la confidentialité des utilisateurs, notamment via l’installation du malware Lumma Stealer.

Des logiciels attractifs, mais piégés

Les cybercriminels publient sur GitHub des projets présentés comme des VPN gratuits pour Windows ou des outils liés à des jeux populaires, tels que des mods pour Minecraft. Ces fichiers, souvent proposés sous forme d’archives ZIP protégées par mot de passe, sont accompagnés d’instructions détaillées pour renforcer leur crédibilité. Une fois installés, ils déploient un dropper, un programme qui installe discrètement d’autres malwares sur la machine de la victime.

Le malware utilise des techniques avancées pour échapper à la détection. Parmi elles :

• Décodage de données en Base64 pour masquer le code malveillant.
• Chargement dynamique de bibliothèques DLL directement en mémoire, sans laisser de trace sur le disque.
• Injection de code dans des processus système légitimes, comme MSBuild.exe, pour passer sous les radars des antivirus.

Une méthode particulièrement redoutée, le side-loading de DLL, consiste à placer une bibliothèque malveillante dans le dossier AppData, un emplacement rarement surveillé par les utilisateurs. Cette DLL n’est activée qu’à l’exécution du programme, rendant l’infection difficilement détectable.

GitHub, un vecteur de confiance détourné

Le succès de cette campagne repose en grande partie sur la confiance que les internautes accordent à GitHub, plateforme réputée pour héberger des projets open source fiables. Les pirates exploitent cette réputation pour duper leurs victimes, qui téléchargent des fichiers pensant obtenir un outil légitime alors qu’il s’agit d’un logiciel espion sophistiqué.

Face à cette menace, quelques précautions simples permettent de réduire considérablement les risques :

• Privilégier le téléchargement de logiciels depuis les sites officiels ou des sources reconnues.
• Se méfier des archives ZIP protégées par mot de passe et des instructions d’installation inhabituelles.
• Surveiller les processus inconnus ou suspects dans le gestionnaire des tâches, notamment MSBuild.exe.
• Restreindre l’exécution de fichiers dans le dossier AppData.
• Utiliser une solution de sécurité moderne, capable de détecter des comportements anormaux, même si ceux-ci échappent aux antivirus classiques.

La vigilance reste la meilleure défense contre ces attaques qui misent avant tout sur la crédulité et la recherche de gratuité. Avant d’installer un VPN ou un utilitaire, il est essentiel de vérifier l’origine du fichier et de privilégier les éditeurs reconnus du secteur.

Source : Cyfirma