Pour gérer vos consentements :
Categories: Sécurité

Equifax : alerte à l’adware après le vol massif de données

Si les internautes bloquent les scripts et la publicité, c’est aussi une question de sécurité.

Cette déclaration d’un membre des forums Y Combinator s’inscrit dans le cadre d’une discussion sur une campagne de diffusion de malware qui a touché Equifax.

Sous le feu des projecteurs depuis qu’elle a reconnu avoir été victime d’un vol massif de données associées à plus de 140 millions d’individus, l’agence américaine d’évaluation de crédit se refuse à parler d’un deuxième piratage.

L’alerte avait été donnée mercredi par Randy Abrams.

Ce chercheur indépendant en sécurité, ancien de Microsoft, d’ESET et de NSS Labs, fait partie des nouveaux inscrits à TrustedID.

Equifax a décidé, dans la continuité du hack dévoilé le mois dernier, d’offrir, à tout citoyen américain qui en fera la demande, un an d’abonnement gratuit à ce service de suivi de dossier de crédit et de protection contre l’usurpation d’identité.

Action directe…

Peu après son adhésion, Randy Abrams a reçu un e-mail le notifiant d’un changement repéré sur son dossier de crédit.

En se connectant à son compte TrustedID, l’intéressé a constaté qu’Experian, autre agence majeure d’évaluation de crédit aux États-Unis, avait modifié son adresse postale – pour une raison qu’il suppose être familiale.

Souhaitant vérifier si la modification avait été répercutée sur le dossier de crédit version Equifax, il s’est rendu sur le portail en ligne mis en place par l’agence pour l’information des consommateurs.

Tandis qu’il s’apprêtait à remplir un formulaire pour accéder audit dossier, il a été redirigé vers une page qui lui proposait de mettre à jour son plugin Flash.

Sauf que l’exécutable téléchargé n’a rien à voir. Nommé MediaDownloaderIron.exe, il est détecté, par quelques moteurs antivirus, comme un logiciel publicitaire.

Symantec et Panda, qui font partie des produits capables de repérer l’adware, le nomment Eorezo.

… ou victime collatérale ?

Dans un examen du 12 octobre, Payload Security a constaté qu’il était difficile de pratique la rétroingénierie sur le code de ce malware qui tente d’agir le plus discrètement possible, en analysant notamment, au préalable, le nom des fenêtres ouvertes, en analysant le registre à la recherche des applications installées ou encore en vérifiant l’éventuelle présence d’outils de débogage.

Ars Technica, qui a suivi l’évolution de l’affaire, note que Malwarebytes a signalé comme malveillant le nom de domaine centerbluray.info, sur lequel était hébergée la page problématique. Sur sa liste Safe Browsing, Google parle quant à lui de site de phishing.

Quelle responsabilité pour Equifax ? Aussi bien sur les forums Y Combinator que dans la communauté des chercheurs en sécurité IT, on estime que le désagrément est lié au piratage d’un tiers. En l’occurrence, un réseau publicitaire ou un fournisseur de solutions analytiques.

Ce qui expliquerait que Randy Abrams lui-même ne soit pas parvenu à reproduire systématiquement le problème, illustré dans la vidéo ci-dessous.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago