Une fausse mise à niveau Windows 11 pour un vrai malware

Le par Jérôme G.  |  9 commentaire(s)
faux-site-windows-11-redline-stealer

Pour diffuser un malware, des cybercriminels surfent sur l'actualité autour de Windows 11 et font croire au téléchargement d'un outil d'upgrade.

Suite à la sortie de Windows 11 en octobre dernier, Microsoft a annoncé le 26 janvier que l'offre de mise à niveau vers le nouveau système d'exploitation est entrée dans sa phase finale de disponibilité, et pour un large déploiement sur les appareils éligibles.

Cette annonce a aussi été entendue par des cybercriminels qui semblaient manifestement bien préparés et dans l'attente afin de déployer une campagne malveillante en optimisant les possibilités pour des compromissions.

C'est en effet dès le 27 janvier que les chercheurs de HP Threat Research ont constaté qu'un nom de domaine avait été enregistré pour permettre à un site web reprenant l'apparence du site Windows 11 légitime de diffuser un malware du nom de RedLine Stealer (ou RedLine).

Un faux outil d'upgrade

En cliquant sur un bouton de téléchargement, une archive Windows11InstallationAssistant.zip était obtenue pour faire croire à un outil de mise à niveau vers Windows 11. Le fichier était récupéré sur le réseau de diffusion de contenu de Discord. La décompression de l'archive de 1,5 Mo donnant lieu à un dossier de… 753 Mo.

faux-site-windows-11-redline-stealer

Au lancement d'un exécutable dans le dossier, un processus PowerShell avec un argument codé est lancé. Cela entraîne le lancement d'un processus cmd.exe avec un délai d'attente de 21 secondes. Une fois ce délai écoulé, le processus initial télécharge un fichier win11.jpg depuis un serveur web distant. Il contient en réalité une DLL.

Les chercheurs en sécurité de HP expliquent que cette DLL est chargée par le processus initial qui remplace le contexte actuel du thread par celle-ci. Il s'agit de la charge utile de RedLine Stealer avec une connexion à un serveur de commande et contrôle via TCP pour des instructions et l'exfiltration d'informations recueillies.

RedLine Stealer est un malware dont il est fait commerce sur des forums fréquentés par des cybercriminels. BleepingComputer souligne que c'est actuellement le mawlare le plus déployé pour le vol de mots de passe, cookies de navigateur, informations de cartes de paiement et portefeuilles de cryptomonnaies.

Bientôt un nouveau domaine pour reprendre le relais d'une telle campagne malveillante ?

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Narcos offline Hors ligne VIP icone 26303 points
Le #2156662
Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!
CoRsCiA offline Hors ligne VIP icone 6826 points
Premium
Le #2156663
Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


c'est a dire un sacré paquet de cibles potentiels
Narcos offline Hors ligne VIP icone 26303 points
Le #2156664
CoRsCiA a écrit :

Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


c'est a dire un sacré paquet de cibles potentiels


C'est vrai ...!!
sebastien31 offline Hors ligne Vétéran icone 1222 points
Le #2156669
Pour les gens qui ne connaissent rien, je précise que pour passé à Windows 11 l'info est dans le Windows Update.
Inutile de se prendre la tête et d'aller chercher sur Internet.

(précision uniquement pour les Noobs.)

Sinon pour lutter contre les malwares, il y a Malwarebytes en version gratuite qui fait bien le travail.
TheDarkgg offline Hors ligne Vénéré icone 3013 points
Le #2156670
Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com

Il faut faire attention oui.
Narcos offline Hors ligne VIP icone 26303 points
Le #2156671
TheDarkgg a écrit :

Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com

Il faut faire attention oui.


pas crédible pour moi !! LOL!!!
Narcos offline Hors ligne VIP icone 26303 points
Le #2156673
TheDarkgg a écrit :

Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com

Il faut faire attention oui.


Déjà comme règle d'or: TOUJOURS utiliser l'assistant de mise à jour disponible sur le site officiel MS. Tu le mets dans tes favoris et tu cliques sur rien d'autre. Aucune prise de risque.
media offline Hors ligne Vétéran avatar 1345 points
Le #2156987
Narcos a écrit :

TheDarkgg a écrit :

Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com

Il faut faire attention oui.


Déjà comme règle d'or: TOUJOURS utiliser l'assistant de mise à jour disponible sur le site officiel MS. Tu le mets dans tes favoris et tu cliques sur rien d'autre. Aucune prise de risque.


à part le risque d'installer une mise à jour boguée comme Microsoft en a le secret
Narcos offline Hors ligne VIP icone 26303 points
Le #2157002
media a écrit :

Narcos a écrit :

TheDarkgg a écrit :

Narcos a écrit :

Il faut etre ou naif ou novice pour se faire avoir sur ce coup la!!!


Non pas tellement, le nom de domaine est quand même crédible ->windows-upgraded.com

Il faut faire attention oui.


Déjà comme règle d'or: TOUJOURS utiliser l'assistant de mise à jour disponible sur le site officiel MS. Tu le mets dans tes favoris et tu cliques sur rien d'autre. Aucune prise de risque.


à part le risque d'installer une mise à jour boguée comme Microsoft en a le secret


la prise de risque est sans conséquences...jamais vu d'assistant de mise à niveau buggé. Et sur le site officiel on élimine l'aléa ''malware''
icone Suivre les commentaires
Poster un commentaire