Une fausse mise à niveau Windows 11 pour un vrai malware
Pour diffuser un malware, des cybercriminels surfent sur l'actualité autour de Windows 11 et font croire au téléchargement d'un outil d'upgrade.
Suite à la sortie de Windows 11 en octobre dernier, Microsoft a annoncé le 26 janvier que l'offre de mise à niveau vers le nouveau système d'exploitation est entrée dans sa phase finale de disponibilité, et pour un large déploiement sur les appareils éligibles.
Cette annonce a aussi été entendue par des cybercriminels qui semblaient manifestement bien préparés et dans l'attente afin de déployer une campagne malveillante en optimisant les possibilités pour des compromissions.
C'est en effet dès le 27 janvier que les chercheurs de HP Threat Research ont constaté qu'un nom de domaine avait été enregistré pour permettre à un site web reprenant l'apparence du site Windows 11 légitime de diffuser un malware du nom de RedLine Stealer (ou RedLine).
Un faux outil d'upgrade
En cliquant sur un bouton de téléchargement, une archive Windows11InstallationAssistant.zip était obtenue pour faire croire à un outil de mise à niveau vers Windows 11. Le fichier était récupéré sur le réseau de diffusion de contenu de Discord. La décompression de l'archive de 1,5 Mo donnant lieu à un dossier de… 753 Mo.
Au lancement d'un exécutable dans le dossier, un processus PowerShell avec un argument codé est lancé. Cela entraîne le lancement d'un processus cmd.exe avec un délai d'attente de 21 secondes. Une fois ce délai écoulé, le processus initial télécharge un fichier win11.jpg depuis un serveur web distant. Il contient en réalité une DLL.
Les chercheurs en sécurité de HP expliquent que cette DLL est chargée par le processus initial qui remplace le contexte actuel du thread par celle-ci. Il s'agit de la charge utile de RedLine Stealer avec une connexion à un serveur de commande et contrôle via TCP pour des instructions et l'exfiltration d'informations recueillies.
RedLine Stealer est un malware dont il est fait commerce sur des forums fréquentés par des cybercriminels. BleepingComputer souligne que c'est actuellement le mawlare le plus déployé pour le vol de mots de passe, cookies de navigateur, informations de cartes de paiement et portefeuilles de cryptomonnaies.
Bientôt un nouveau domaine pour reprendre le relais d'une telle campagne malveillante ?
-
![Windows 11 : le déploiement de l'upgrade gratuit pas avant 2022]()
Si les nouveaux PC des fabricants bénéficieront de Windows 11 à partir de l'automne prochain, il faudra attendre 2022 pour le déploiement de la mise à niveau gratuite. -
![Windows 11 : l'upgrade depuis Windows 7 serait gratuit]()
La question se pose-t-elle avec le vieux Windows 7 ? La mise à niveau vers Windows 11 serait possible et gratuite.
Vos commentaires
Premium
c'est a dire un sacré paquet de cibles potentiels
C'est vrai ...!!
Inutile de se prendre la tête et d'aller chercher sur Internet.
(précision uniquement pour les Noobs.)
Sinon pour lutter contre les malwares, il y a Malwarebytes en version gratuite qui fait bien le travail.
Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com
Il faut faire attention oui.
pas crédible pour moi !! LOL!!!
Déjà comme règle d'or: TOUJOURS utiliser l'assistant de mise à jour disponible sur le site officiel MS. Tu le mets dans tes favoris et tu cliques sur rien d'autre. Aucune prise de risque.
à part le risque d'installer une mise à jour boguée comme Microsoft en a le secret
la prise de risque est sans conséquences...jamais vu d'assistant de mise à niveau buggé. Et sur le site officiel on élimine l'aléa ''malware''