Une fausse mise à jour de Windows 11 prolifère actuellement sur la Toile, c'est ce que viennent de découvrir les chercheurs du centre sécurité de HP. L'objectif de cette update est d'infecter le PC cible avec le malware RedLine Stealer, qui vole les données de l'utilisateur stockées dans le navigateur, comme les informations relatives à sa carte de crédit et les données d'autocomplétion.

Le 26 janvier 2022, la phase finale de déploiement de Windows 11 était annoncée. Le lendemain, le nom de domaine windows-upgraded.com était enregistré. Des pirates ont en effet enregistré ce nom de domaine pour diffuser une prétendue mise à jour de Windows 11, qui cache en réalité le malware RedLine Stealer.

Pour tromper les utilisateurs, les attaquants ont mis en place une copie conforme du site de Microsoft. Le logo de l'entreprise, un menu expliquant les différentes facettes de Windows, un moteur de recherche, la possibilité d'acheter des produits, de se connecter à son compte Microsoft… Bref, de quoi facilement tomber dans le panneau lorsqu'on n'est guère aguerri. Le site propose de télécharger un fichier ZIP qui permet théoriquement de mettre à jour Windows 10 et d'installer Windows 11.

À lire aussi : Windows 11 – attention à ces faux fichiers d'installation, ils cachent des malwares !

Cette fausse mise à jour de Windows 11 dissimule le malware RedLine Stealer

Une fois décompressé sur le disque dur, le pack Windows11InstallationAssistant.zip contient un exécutable (qui permet d'installer la soi-disant mise à jour), un fichier XML et différentes DLL. Le plus étonnant, c'est que l‘archive d'origine de 1,5 Mo requiert 753 Mo d'espace disque après décompression. L'exécutable en lui-même pesant 751 Mo, nous avons à faire là à un niveau de compression record. En réalité, les chercheurs de HP y ont trouvé une impressionnante quantité de 0x30 (son code en hexadécimal), des informations inutiles qui ont pour objectif d'augmenter artificiellement la taille du programme. Comme la plupart outils d'analyse de malwares et autres sandbox sont incapables de prendre en charge une telle taille de fichier, ils ont dû analyser le code à la main et supprimer les parties inutiles.

Ils ont ainsi découvert que l'exécutable agit de manière identique à la campagne RedLine Stealer, qui a sévi en décembre dernier. Se faisant passer pour une application Discord, celle-ci exploitait également de faux sites Web pour propager son malware. Le malware RedLine Stealer permet à un attaquant de récupérer les informations enregistrées par le navigateur, comme les champs d'autocomplétion, les coordonnées de carte bancaire, etc. Le logiciel effectue au passage un inventaire détaillé du système : nom d'utilisateur, configuration matérielle, données de localisation, liste des logiciels de sécurité installés, tout y passe. Enfin, une version plus récente du malware se propose aussi de voler les cryptomonnaies détenues par la victime.

Si le site incriminé a été désactivé, méfiance : le fichier de mise à jour Windows11InstallationAssistant.zip circule toujours ici et là sur la Toile, nous n'avons eu aucun mal à le trouver. Comme à l'accoutumée, nous vous conseillons systématiquement de faire appel au module Windows Update si vous désirez mettre à jour votre système d'exploitation. Ou à défaut, téléchargez l'exécutable disponible sur le site officiel de Microsoft.

Source : HP Threat Research