Des acteurs malveillants cachent des logiciels malveillants dans un faux site de mise à jour de Windows 11
Blog HP Threat Research a averti que des acteurs malveillants profitent de la récente sortie de Windows 11 pour distribuer des logiciels malveillants. Ces acteurs malveillants ont enregistré le domaine windows-upgrade[.]com, qui dirige les utilisateurs peu méfiants vers un site Web convaincant qui se fait passer pour un site légitime de mise à niveau de Windows 11. Ce domaine tente de diffuser le malware RedLine Stealer, qui vole les données de l'ordinateur d'une victime et les vend sur des forums clandestins
Lorsque l'on clique sur le bouton de téléchargement du faux site de mise à niveau de Windows 11, on télécharge un fichier zip nommé Windows11InstallationAssistant, qui est hébergé sur Discord. Ce fichier zip a une taille de 1,5 Mo et passe à 753 Mo une fois décompressé. Le zip atteint un taux de compression stupéfiant de 99,8 %, probablement en raison d'un remplissage hautement compressible. Les acteurs malveillants ont pu inclure ce remplissage car certains antivirus ne peuvent pas analyser les fichiers très volumineux
L'exécution de Windows11InstallationAssistant.exe lance un PowerShell, qui télécharge le RedLine Stealer. Le malware chaparde les informations sensibles de la victime telles que les mots de passe, les informations bancaires, les portefeuilles de crypto-monnaies et les informations informatiques de l'utilisateur.
Cette dernière tentative de tirer parti de tendances récentes, comme la sortie de Windows 11, fait suite à de précédentes tentatives similaires de diffusion du malware RedLine Stealer, comme lorsque les pirates ont répliqué la page de téléchargement de Discord en décembre 2021. Ces mauvais acteurs distribuent fréquemment des malwares via de faux sites de téléchargement. Les utilisateurs ne doivent donc télécharger que sur des sites de confiance.
Source(s)
