Suite à la sortie de Windows 11 en octobre dernier, Microsoft a annoncé le 26 janvier que l'offre de mise à niveau vers le nouveau système d'exploitation est entrée dans sa phase finale de disponibilité, et pour un large déploiement sur les appareils éligibles.

Cette annonce a aussi été entendue par des cybercriminels qui semblaient manifestement bien préparés et dans l'attente afin de déployer une campagne malveillante en optimisant les possibilités pour des compromissions.

C'est en effet dès le 27 janvier que les chercheurs de HP Threat Research ont constaté qu'un nom de domaine avait été enregistré pour permettre à un site web reprenant l'apparence du site Windows 11 légitime de diffuser un malware du nom de RedLine Stealer (ou RedLine).

Un faux outil d'upgrade

En cliquant sur un bouton de téléchargement, une archive Windows11InstallationAssistant.zip était obtenue pour faire croire à un outil de mise à niveau vers Windows 11. Le fichier était récupéré sur le réseau de diffusion de contenu de Discord. La décompression de l'archive de 1,5 Mo donnant lieu à un dossier de… 753 Mo.

faux-site-windows-11-redline-stealer

Au lancement d'un exécutable dans le dossier, un processus PowerShell avec un argument codé est lancé. Cela entraîne le lancement d'un processus cmd.exe avec un délai d'attente de 21 secondes. Une fois ce délai écoulé, le processus initial télécharge un fichier win11.jpg depuis un serveur web distant. Il contient en réalité une DLL.

Les chercheurs en sécurité de HP expliquent que cette DLL est chargée par le processus initial qui remplace le contexte actuel du thread par celle-ci. Il s'agit de la charge utile de RedLine Stealer avec une connexion à un serveur de commande et contrôle via TCP pour des instructions et l'exfiltration d'informations recueillies.

RedLine Stealer est un malware dont il est fait commerce sur des forums fréquentés par des cybercriminels. BleepingComputer souligne que c'est actuellement le mawlare le plus déployé pour le vol de mots de passe, cookies de navigateur, informations de cartes de paiement et portefeuilles de cryptomonnaies.

Bientôt un nouveau domaine pour reprendre le relais d'une telle campagne malveillante ?