Attention : les fausses pages de jeux itch.io volent les comptes des joueurs et diffusent des logiciels malveillants.

Attention : les fausses pages de jeux itch.io volent les comptes des joueurs et diffusent des logiciels malveillants.

Arnaque croissante ciblant les utilisateurs d’Itch.io

Des rapports récents de Malwarebytes ont mis en lumière une arnaque inquiétante touchant la communauté des joueurs sur la plateforme indépendante Itch.io. Les auteurs de cette arnaque exploitent la confiance qui existe entre les joueurs et les développeurs indépendants en se faisant passer pour des jeux populaires, comme le jeu Archimoulin.

Comment fonctionne l’arnaque

Le processus commence par l’utilisation de comptes compromis sur des plateformes de communication fiables comme Discord par les escrocs. Cette tactique augmente la probabilité que les victimes potentielles fassent confiance aux liens malveillants fournis et cliquent dessus.

En cliquant, les utilisateurs sont redirigés vers une page web trompeuse imitant le design d’Itch.io, souvent hébergée sur des sous-domaines de Blogspot ou des services de liens cloud. Dans des variantes plus avancées, les victimes peuvent se voir proposer une fausse page de connexion Discord pour récupérer leurs identifiants. Cela compromet non seulement le compte de la victime, mais permet également aux escrocs d’envoyer d’autres messages malveillants.

Téléchargements malveillants et tactiques d’évasion

Les victimes qui accèdent à la page du jeu frauduleux verront un bouton de téléchargement, mais au lieu de télécharger le jeu souhaité, elles recevront par inadvertance un fichier généralement nommé Setup Game.exe. Cet exécutable est conçu pour fonctionner sans interface utilisateur visible, telle qu’un assistant d’installation ou une barre de progression, ce qui le rend facilement méconnu.

Ce programme malveillant active PowerShell et exécute une commande codée, dissimulant ainsi les scripts malveillants. En exécutant le code directement en mémoire, il devient plus difficile pour les antivirus traditionnels d’identifier la menace. De plus, l’utilisation d’une astuce. NET permet de masquer la fenêtre PowerShell à l’utilisateur.

Pour entraver davantage les tentatives d’intervention des utilisateurs, le logiciel malveillant utilise une taskkillcommande pour forcer la fermeture des navigateurs web populaires comme Chrome, Firefox, Brave, Edge et Opera. Cela empêche les utilisateurs de rechercher rapidement des informations ou d’interrompre le processus d’installation.

Le niveau de menace et les actions recommandées

Ce logiciel malveillant agit comme un intermédiaire ou un chargeur qui ne communique pas immédiatement avec des serveurs externes. Il effectue plutôt des vérifications, telles que l’examen des entrées de registre et des configurations BIOS ou réseau, afin de s’assurer qu’il fonctionne sur une machine légitime, et non dans un environnement sandbox contrôlé. Lorsque les conditions sont jugées favorables, ce composant furtif télécharge des charges utiles malveillantes supplémentaires, telles que des portes dérobées, des enregistreurs de frappe ou des mineurs de cryptomonnaies.

Malwarebytes recommande à toute personne exécutant le fichier malveillant d’agir immédiatement. Il est crucial de :

  • Modifiez les mots de passe des comptes Discord, de messagerie et Steam.
  • Activez l’authentification à deux facteurs à partir d’un appareil sécurisé.
  • Déconnectez-vous de toutes les sessions actives.
  • Révoquez toutes les applications ou jetons tiers autorisés.
  • Déconnectez la machine affectée d’Internet.

Restez vigilant face aux liens non sollicités

Si vous êtes inquiet face à cette menace persistante, restez attentif aux messages directs inattendus contenant des liens de téléchargement de jeux douteux, ainsi qu’à tout comportement anormal du navigateur, comme des plantages ou l’apparition soudaine de nouveaux dossiers. En cas de compromission de votre système, une réinstallation complète de Windows est fortement recommandée.

Pour plus de détails, visitez le rapport complet sur le site Web de Neowin.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *