AVCheck, le cauchemar des antivirus, ferme ses portes
▻https://www.01net.com/actualites/avcheck-cauchemar-antivirus-ferme-portes.html
AVCheck, un service clandestin utilisé par les cybercriminels pour tester leurs virus, vient d’être démantelé. Une opération internationale, impliquant les polices de plusieurs pays, a permis de faire tomber le site web. C’est un nouveau coup dur pour les pirates et le monde du ransomware.
Depuis sa création en 2010, AVCheck était massivement utilisé par les cybercriminels. Ce service en ligne permettait aux développeurs de tester si leurs logiciels malveillants étaient détectés par les antivirus. Les attaquants pouvaient ainsi peaufiner leur code jusqu’à ce qu’il échappe aux logiciels de détection des virus. Pour scanner un malware en cours de conception, les pirates devaient simplement glisser leurs fichiers malveillants sur une plateforme.
Après une longue enquête, les forces de l’ordre ont compris que le site jouait un rôle majeur dans les cyberattaques reposant sur l’extorsion. AvCheck a notamment été utilisé dans le cadre d’attaques par ransomware survenues sur le sol américain. Les pirates se servaient du scanner pour développer des virus capables d’infecter un ordinateur en passant inaperçus. Par la suite, le maliciel pouvait servir à déployer le ransomware sur la machine infectée. Celui-ci chiffrait ou volait les données, ce qui donnait un moyen de pression aux cybercriminels.
La chute d’AVCheck et de 2 autres outils criminels
Après plus de quinze ans, les autorités ont finalement décidé de mettre un terme à AVCheck. Ce 27 mai 2025, les forces de l’ordre des États-Unis, des Pays-Bas, et de la Finlande ont saisi le site web de l’outil. Celui-ci affiche désormais un avis de saisie avec le logo des autorités impliquées dans l’opération. Pour saisir le site, les polices ont tiré profit des nombreuses erreurs commises par les administrateurs.
Les « administrateurs n’ont pas fourni la sécurité qu’ils avaient promise », explique la police des Pays-Bas dans un communiqué de presse. Pour Matthijs Jaspers, le chef d’équipe de la police néerlandaise en charge de l’enquete, « la mise hors ligne du service AVCheck marque une étape importante dans la lutte contre la cybercriminalité organisée ». Les autorités ont saisi quatre domaines et un serveur dans le cadre de l’opération internationale.
Dans la foulée, les autorités ont découvert que les administrateurs d’AVCheck étaient liés à d’autres services exploités par les cybercriminels, Cryptor.biz et Crypt.guru. Ces deux outils permettaient aux cybercriminels de masquer leurs logiciels malveillants afin de les rendre indétectables, en obscurcissant le code ou en chiffrant les programmes. Une fois le code dissimulé, les cybercriminels utilisaient AVCheck pour tester l’efficacité de leur camouflage. Si le logiciel passait inaperçu lors de ces tests, il est alors utilisé dans des cyberattaques.
« Les cybercriminels ne se contentent pas de créer des logiciels malveillants ; ils les perfectionnent pour une destruction maximale », déclare l’agent spécial du FBI Douglas Williams dans un communiqué de la justice américaine.
À lire aussi : Les données piratées de millions de Français refont surface sur le dark web
Une fausse page de connexion pour piéger les hackers
En amont de la saisie du site d’AVCheck, les enquêteurs ont mis en place une fausse page de connexion. Tous les utilisateurs qui tentaient de se connecter à leur compte recevaient un avertissement rappelant que l’outil enfreint la loi. La police néerlandaise ajoute que les forces de l’ordre « ont saisi la base de données des utilisateurs ». Les enqueteurs disposent d’une foule d’informations sur les pirates qui se sont servis de d’AVCheck, dont des noms d’utilisateur, des adresses e-mail, des informations de paiement et d’autres « preuves clés ». Il est donc possible que les autorités remontent jusqu’à eux dans le cadre de leurs investigations.
La saisie d’AVCheck découle de l’opération Endgame, l’opération Engame, initiée par Europol en mai dernier et décrite comme « la plus grande opération jamais réalisée » contre l’industrie des malwares. De longue haleine, cette frappe internationale, qui a impliqué les polices de nombreux pays et plusieurs géants de la technologie, a fait tomber une panoplie de virus, dont Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot, Warmcookie et Danabot. En s’attaquant aux logiciels et outils utilisés dans le cadre du développement de virus, les forces de l’ordre cherchent à perturber l’industrie du ransomware. Privés de leurs outils d’infection, les pirates vont devoir trouver d’autres moyens pour propager leurs virus taillés pour l’extorsion.