Les arnaqueurs ont obtenu un étonnant succès dans la distribution d’une version modifiée de Windows Movie Maker, visant à subtiliser l’argent d’utilisateurs à l’insu de ces derniers. La propagation de cette arnaque, qui est loin d’être une nouveauté, a été favorisée par l’optimisation des moteurs de recherche du site des escrocs, ainsi que par la demande soutenue pour Windows Movie Maker, le logiciel d’édition vidéo gratuit de Microsoft dont le téléchargement et le soutien n’est plus offert sur le site de l’entreprise en janvier 2017.

Au moment d’écrire ses lignes, le site partageant le logiciel modifié, ‘windows-movie-maker.org’, figure parmi les premiers résultats de rechercher pour « Movie Maker » et « Windows Movie Maker » sur Google (en utilisant ce navigateur, le site figure au premier rang des résultats dans la majorité des pays comprenant le plus grand nombre d’utilisateur Internet). Sur Bing, deuxième plus grand engin de recherche en termes de parts de marché, le site Web figure aussi sur la première page des résultats.

Les produits de sécurité d’ESET détectent cette arnaque sous le nom Win32/Hoax.MovieMaker et bloque le site qui la distribue. Nous avons avisé Google et Microsoft de la nature frauduleuse de ce site bien positionné (qui est enregistré depuis 2010).

Graphique 1 – Le site frauduleux figure parmi les premiers résultats sur Google

Graphique 1 – Le site frauduleux figure parmi les premiers résultats sur Google

Graphique 2 – Le site Web frauduleux

Graphique 2 – Le site Web frauduleux

Conséquence du classement élevé de ce site sur les engins de recherche, les escrocs derrière cette arnarque sont parvenus à rejoindre une audience globale, alors que leur version modifiée de Windows Movie Maker figure parmi les menaces les plus répandues selon la télémétrie d’ESET au cours des derniers jours.

Au 5 novembre 2017, Win32/Hoax.MovieMaker était la troisième menace la plus détectée à travers le globe et figurait en première place en Israël. Le 6 novembre, notre télémétrie a enregistré plusieurs détections aux Philippines, en Israël, en Finlande et au Danemark.

Graphique 3 – Win32/Hoax.MovieMaker au troisième rang des menaces mondiales les plus répandues

Graphique 3 – Win32/Hoax.MovieMaker au troisième rang des menaces mondiales les plus répandues

Comment fonctionne ce faux Windows Movie Maker

En téléchargent le logiciel distribué sur le site mentionné plus haut, les utilisateurs obtiennent une version de Windows Movie Maker fonctionnelle. Cependant, contrairement à la version officielle et gratuite de Windows Movie Maker distribuée par Microsoft, celle-ci se présente comme étant une version d’essai, qui requiert une mise à niveau vers la version intégrale pour accéder à l’ensemble des fonctionnalités.

On demande à répétition à l’utilisateur de télécharger la version complète. D’abord, quand le logiciel est lancé, et par la suite, quand ce dernier tente de sauvegarder un nouveau document. Dans ce dernier cas, le logiciel frauduleux empêche l’utilisateur de poursuivre, suggérant que la sauvegarde du document est une fonctionnalité payante.

Graphique 4 – Fenêtre de paiement affichée par la version modifiée de Movie Maker lors de la sauvegarde

Graphique 4 – Fenêtre de paiement affichée par la version modifiée de Movie Maker lors de la sauvegarde

Le prix exigé pour cette fausse mise à jour s’élève à 29,95$, ce qui représente un rabais de 25% par rapport au prix indiqué sur le site frauduleux.

Graphique 5 – Site de paiement utilisés par les arnaqueurs

Graphique 5 – Site de paiement utilisés par les arnaqueurs

Comment vous protéger contre ce faux Windows Movie Maker

Si vous avez déjà installé le Movie Maker offert sur le site windows-movie-maker.org, désinstaller-le et lancez une analyse en utilisant une solution anti logiciel malveillants réputée.

Pour éviter de devenir la victime d’attaques similaires, tenez-vous en toujours aux sources officielles pour le téléchargement de logiciels. Si vous devez utiliser une pièce de logiciel qui n’est plus distribuée par son fabricant original, assurez-vous :

  • D’utiliser une solution de sécurité fiable pour détecter et bloquer tout contenu malveillant;
  • D’envisager l’utilisation d’une solution remplaçant officiellement le logiciel dont la distribution est interrompue – Windows Story Remix, dans le cas présent;
  • Ne payez pas pour un logiciel qui est ou a été offert officiellement sans frais. Les informations sur le prix d’un logiciel devraient être affichées en ligne.

Indicateurs de compromission (IoCs)

Monteurs/injecteurs :

1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8

4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F

6E57AC0812DE0D473DE669CBBAAEF1903995E59F

Variantes de l’application frauduleuse :

3886F28150EC74CC61B7A736147B6307A266B0B3

3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981

529017D113BDCECAF1B1FC4DF9555518251A8C7A