Opera.com piraté, un malware signé avec leur certificat probablement distribué à des milliers d’utilisateurs (Mise à jour)

Selon un message publié sur le Blog Opera Security, la société a été victime le 19 juin d’une « attaque ciblée au niveau de son infrastructure réseau interne ». Les pirates ont réussi à mettre la main sur au moins un ancien certificat de signature de code d’Opera expiré, qu’ils ont utilisé pour signer un malware. Ceci leur a permis de distribuer un logiciel malveillant qui se présente faussement comme étant édité par Opera Software ou comme le navigateur Opera lui-même.

opera_logo

La situation décrite ici par Opera est le cauchemar de toute société comptant à son actif des millions d’utilisateurs :

 

La situation peut-elle s’aggraver ?

Oui.

  • le site a distribué automatiquement des logiciels malveillants signés par Opéra à ses utilisateurs :

Il est possible que plusieurs milliers d’utilisateurs de Windows, ayant utilisé Opera entre 1 h et 1 h 36 UTC le 19 juin, aient reçu et installé automatiquement le logiciel malveillant.

Si vous utilisez ou avez utilisé Opera, voici ce que vous pouvez faire pour vous assurer que votre ordinateur est propre :

  • Désinstaller Opera
  • Installer n’importe quel produit Avira en cliquant ici
  • Lancer « l’analyse système » pour procéder à une analyse complète de votre ordinateur à la demande.

sysscan

  • Si vous repérez une détection de TR/Ransom.GR.1, ou de n’importe quel malware dont le nom figure ci-dessous (voir la Mise à jour), c’est que vous avez été infecté. Laissez le programme supprimer tous les fichiers trouvés.
  • Après avoir nettoyé l’ordinateur, nous vous invitons à réinstaller le navigateur Opera. Notez qu’il existe de nombreuses alternatives, telles que Firefox, Chrome et d’autres encore.

Mise à jour :

Voici des détails supplémentaires concernant ce malware.

Le comportement du fichier inclut le vol d’informations d’identité depuis plusieurs explorateurs de fichiers, navigateurs Internet, clients FTP et clients de messagerie électronique. La liste est vraiment très longue et inclut Opera, Thunderbird, Chrome, Firefox, Total Commander, Far, Filezilla, The Bat !, CuteFTP et bien d’autres encore.

Le programme télécharge également d’autres malwares depuis une URL spéciale dont il se trouve qu’elle est toujours active. Le fichier hébergé à cette adresse change régulièrement. Depuis que nous avons commencé à surveiller l’URL la semaine dernière, nous y avons observé :

  • un ransomware avec verrouillage d’écran se faisant passer pour les autorités locales (détecté en tant que TR/Ransom.GQ.1)
  • un cheval de Troie conçu pour voler des informations (détecté en tant que TR/Kazy.adag)
  • une backdoor communiquant avec plusieurs serveurs distants et permettant à des tiers de prendre le contrôle du système infecté (détecté en tant que BDS/ZAccess.BS)

 

Un grand merci à Andrei Gherman de VLAB à Bucarest pour cette rapide analyse.

 

Sorin Mustaca

IT Security Expert