Accueil > Tous >

Alors que des virus et des logiciels malveillants peuvent être ajoutés à n’importe quel fichier en ligne, il est rare que des contenus malveillants soient plantés par ceux de la scène dite warez. Néanmoins, il a maintenant été révélé que depuis février 2013, un groupe en particulier a mis un petit quelque chose en plus dans ses versions de logiciels crackés. Quiconque a installé les correctifs logiciels du groupe peut très bien avoir reçu par courrier électronique son nom d’utilisateur, le numéro de série du disque dur, le nom de l’ordinateur et l’adresse IP à son insu.

Si l’on en croit la RIAA et la MPAA, les torrents et autres sites de partage de fichiers sont des endroits incroyablement dangereux. Toute personne qui les visite doit être prête à être infectée par un virus, infiltrée par des logiciels malveillants ou autrement exposée à des menaces similaires.

La situation actuelle est loin d’être aussi mauvaise que certains voudraient le faire croire, mais de temps en temps quelque chose arrive pour nous rappeler qu’il est très possible que quelque chose de méchant passe à travers le filet.

Le 12 février 2013, un nouveau groupe warez est apparu sous le nom de MeGaHeRTZ. Leur première version était BurnAware Professional v6.0 plus un correctif pour supprimer la protection du logiciel. Au cours des mois qui ont suivi, le groupe a sorti de nombreux produits remarquables tels que SmartFTP, DVDFab, FlashFXP, Incredimail, Traktor et des centaines d’autres, chacun avec le patch « gratuit » obligatoire.

Demain, le groupe aura fonctionné pendant neuf mois complets et pendant ce temps, leurs sorties se sont répandues dans tous les coins d’Internet. Cependant, loin de vouloir simplement rendre service aux téléchargeurs, MeGaHeRTZ a joué un peu sale.

Au cours du week-end, un avis s’est répandu sur la scène warez, expliquant comment un individu s’était alarmé d’une activité de pare-feu inhabituelle après avoir installé, ironiquement, une version MeGaHeRTZ de Malwarebytes Anti-Malware Pro.

Le problème proviendrait du correctif fourni par MeGaHeRTZ avec la version qui tentait d’envoyer du trafic sur le port 25, un port couramment utilisé pour envoyer des e-mails. La même personne qui a trouvé l’activité étrange a ensuite exécuté le correctif via un débogueur et à son alarme a constaté qu’il récoltait des informations de la machine hôte.

Les données collectées à partir des machines infectées incluent le nom d’utilisateur, le nom de l’ordinateur/le numéro de série du lecteur obtenu à partir de l’API Windows et l’adresse IP de la machine hôte. Ces informations sont ensuite rassemblées et envoyées à l’une des trois adresses e-mail prédéterminées, qui ont toutes des noms de compte contenant une variante du nom de groupe MeGaHeRTZ.

D’autres tests ont été effectués sur plusieurs autres versions de MeGaHeRTZ et il s’est avéré qu’elles portaient toutes des mécanismes similaires pour extraire les données des machines hôtes et les renvoyer vers le groupe de version.

Ce que MeGaHeRTZ a l’intention de faire avec les données n’est pas clair, mais il semble qu’en tant que groupe de libération actif, ils ont maintenant terminé, du moins sous leur identité actuelle. Samedi, la scène warez a pris des mesures pour « nuke » chaque sortie de MeGaHeRTZ, ce qui signifie qu’ils ne seront plus autorisés à sortir.

La révélation de logiciels malveillants dans les versions de scène est un événement très inhabituel et le contenu malveillant est généralement ajouté à un stade ultérieur par des tiers. Pourtant, le mal est maintenant fait. Les versions de MeGaHeRTZ sont maintenant partout sur Internet et personne ne peut rien faire pour les récupérer. L’évitement est désormais la seule solution.