Le 17 avril 2017

Doctor Web a déjà publié un article sur les prévisions de résultats de matchs, une forme connue de fraude sur Internet. Cependant, la technique utilisée par les cybercriminels évolue constamment et la dernière technique analysée par Doctor Web montre qu’ils intègrent un programme spécifique à leurs schémas.

L’approche, disons « traditionnelle » des cybercriminels dans ce domaine est relativement simple. Ils créent un site web dédié qui vend des « informations fiables et vérifiées sur les résultats d’événements sportifs ». Ces informations peuvent être utilisées par les acheteurs pour parier de manière quasi sûre sur le bon résultat. Les créateurs de ce type de sites se présentent comme d’anciens coachs ou analystes sportifs. En réalité, alors qu’une partie des acheteurs se voit fournir un tableau de pronostics, une autre partie reçoit des pronostics exactement inverses. Si une victime de cette fraude se plaint, les cybercriminels leur offrent leurs prochaines prévisions gratuitement pour compenser leurs pertes.

Ce scenario a été récemment modifié. Les cybercriminels continuent à créer des sites web pour attirer les clients, ainsi que des pages sur les réseaux sociaux, mais, afin de prouver la qualité de leurs pronostics, ils demandent aux internautes de télécharger une archive auto-extractible protégée par mot de passe au format RAR, qui est supposée contenir des fichiers textes donnant les résultats des matchs d’un événement sportif. Les cybercriminels envoient le mot de passe de l’archive une fois que le ou les matchs sont terminés. Cela est supposé donner aux utilisateurs une chance de comparer les pronostics avec les résultats réels.

Au lieu d’une archive, les criminels envoient à leurs victimes leur propre programme, qui imite parfaitement l’interface et le comportement d’une archive SFX créée avec WinRar. Ce programme a été classé par Dr.Web comme Trojan.Fraudster.2986. Non seulement le fichier est exactement similaire à une archive RAR SFX, mais il réagit en plus de la même manière lorsqu’un utilisateur tente d’entrer un mot de passe ou d’effectuer d’autres actions.

Cette fausse archive contient le modèle d’un fichier texte qui, à l’aide d’un algorithme spécial, donne les résultats du match en fonction du mot de passe entré par l’utilisateur. Ainsi, lorsque le match est fini, les cybercriminels ont juste à envoyer à leur victime le bon mot de passe, et le fichier texte avec les « bons » résultats du match sera « extrait » de la soi-disant archive (en réalité, le Trojan le génère sur la base du modèle).

Il existe une version alternative de ce schéma de fraude qui consiste à envoyer à l’internaute un fichier Microsoft Excel protégé par mot de passe contenant une macro spécifique. Cette macro utilise la même méthode pour insérer les résultats requis, en fonction du mot de passe entré.

Doctor Web rappelle que toutes les prédictions que les criminels peuvent faire à propos de résultats de matchs constituent de la fraude. Ne vous fiez pas aux sites web vous proposant de faire fortune en utilisant des informations vous permettant de parier, même si les promesses du site paraissent très convaincantes.

En savoir plus sur ce Trojan