Vous voulez installer Windows 11 ? Méfiez-vous de ce fichier particulier

Windows 11
(Crédit photo: Shutterstock)

Un nouveau fichier d’installation Windows 11 factice vient d’être repéré en ligne. Tout consommateur crédule qui le télécharge se retrouve avec RedLine Stealer, un puissant logiciel malveillant qui peut voler des mots de passe, des informations bancaires, un historique de navigation, et beaucoup, beaucoup plus.

Les chercheurs en cybersécurité de HP affirment que l’auteur de cette nouvelle malversation a mûrement réfléchi à la conception de ce programme avant de le déployer. D'une part, Windows 11 est la dernière mise à jour du système d'exploitation de Microsoft, et il dépend fortement des spécifications matérielles de l'appareil. En tant que telle, elle n'est pas disponible pour tous les usagers de Windows 10 via Windows Update.

Les cybercriminels ont tiré parti de ce filtre, en créant de nouveaux noms de domaines représentant prétendument Microsoft. Par exemple windows-upgraded.com, qui ressemble beaucoup à un site officiel de la compagnie. Si ce nom de domaine a déjà été supprimé, de nombreux autres demeurent probablement effectifs, attendant d'être identifiés.

Passer par Windows Update, sinon rien

Les chercheurs notent également que les hackers ont malicieusement déterminé leur fenêtre de lancement. En effet, Microsoft n'a annoncé que récemment qu'elle entrait dans une "phase de déploiement large", incitant tout propriétaire d'appareils éligibles à installer Windows 11 via Windows Update.

A l’inverse, les utilisateurs non-éligibles peuvent se tourner vers des plateformes tierces permettant de télécharger des fichiers d’installation. Toute personne qui récupère un fichier d’installation à partir de sites web factices recevra une archive ZIP de 1,5 Mo appelée "Windows11InstallationAssistant.zip", cette dernière provenant d'un CDN Discord. 

Au lieu d'une mise à jour de Windows 11, les victimes téléchargent RedLine Stealer, un logiciel malveillant qui collectent au sein de vos navigateurs des mots de passe enregistrés, des données de saisie automatique, des informations relatives aux cartes de crédit, etc. 

Le malware effectue également un inventaire du système, recueillant des informations telles que le nom d'utilisateur, les données de localisation, la configuration matérielle et les détails relatifs aux logiciels de sécurité installés sur l'appareil. 

Les versions plus récentes sont même capables de voler les identifiants propres aux portefeuilles de cryptomonnaies et de cibler les clients FTP ainsi que de messagerie instantanée. Il peut télécharger des fichiers, exécuter des commandes et communiquer avec un serveur C2.

Via: BleepingComputer

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.

TOPICS