Windows 11 : une fausse mise à jour vole les données stockées dans le navigateur

Une fausse mise à jour de Windows 11 prolifère actuellement sur le Web.

RedLine permet de voler des mots de passe. Pour 150 dollars par mois, il propose ses services en ligne à des personnes qui veulent voler des crypto-monnaies comme le Bitcoin ou l’Ethereum.

Vol de données
La nouvelle technique des escrocs de RedLine est l’utilisation de fausses promesses de mises à niveau de Windows 11. Ils s’en servent d’appât pour inciter les utilisateurs de PC à installer le logiciel malveillant. Concrètement, récemment, les pirates ont utilisé l’annonce faite par Microsoft le 26 janvier. Celle-ci annonçait que Windows 11 “entrait dans sa phase finale de disponibilité et était destiné à être déployé à grande échelle pour les appareils éligibles”.

Le malware en question vise à voler les mots de passe stockés dans les navigateurs Web, les données de saisie automatique telles que les informations relatives aux cartes de crédit, ainsi que les fichiers et portefeuilles de crypto-monnaies.

Un faux nom de domaine
Des chercheurs en sécurité de HP ont découvert que les acteurs de RedLine avaient enregistré un faux domaine dans l’espoir d’inciter les utilisateurs de Windows 10 à télécharger et à exécuter un faux programme d’installation de Windows 11.

Faux logo, faux menu expliquant les différentes facettes de Windows, faux moteur de recherche… En prévision les cybercriminels avaient enregistré leur propre faux domaine le jour suivant, windows-upgraded.com. Les attaquants avaient copié le design du site Web légitime de Windows 11, sauf que le fait de cliquer sur le bouton “Télécharger maintenant” télécharge une archive zip suspecte.

La véritable page de mise à niveau de Windows 11 de Microsoft est hébergée sur un domaine Microsoft.com.

Un malware hyperactif
Premièrement, petit rappel. Un fichier dit exécutable est un fichier contenant un programme et identifié comme tel par le système d’exploitation. Un fichier XML est un fichier texte simple qui utilise des balises personnalisées pour décrire la structure et d’autres fonctionnalités du document. Enfin les fichiers DLL sont nécessaires à l’exécution de plusieurs programmes.

Le site pirate proposait aux utilisateurs de télécharger un fichier ZIP. Théoriquement, celui-ci permettait de mettre à jour Windows 10 et d’installer Windows 11. Une fois décompressé sur le disque dur, le pack Windows11InstallationAssistant.zip contient un exécutable, un fichier XML et diverses DLL. Très efficace, l’installateur malveillant était capable de compresser 1,5 Mo de données à la minute. Ainsi, après décompression, la taille du dossier était de 753 Mo.

“Comme la taille compressée du fichier zip n’était que de 1,5 Mo, cela signifie qu’il a un taux de compression impressionnant de 99,8 %. C’est bien plus que le taux de compression moyen de zip pour les exécutables, qui est de 47 %. Pour atteindre un tel taux de compression, l’exécutable contient probablement un remplissage qui est extrêmement compressible” conclut Patrick Schläpfer, analyste des logiciels malveillants pour l’équipe de sécurité Wolf de HP.