L’installation de Windows 11 n’est pas si facile pour de nombreux ordinateurs existants, grâce aux exigences matérielles strictes du logiciel. Cela a conduit de nombreux utilisateurs de Windows 10 à rechercher des solutions de contournement qui contournent ces obstacles.
Mais soyez prudent, car un supposé programme d’installation de Windows 11 est en réalité le voleur RedLine, un logiciel malveillant voleur d’informations bien connu qui infectera votre navigateur Web et glissera vos mots de passe, numéros de carte de crédit, jetons de session de connexion et même jetons de crypto-monnaie. . (RedLine est l’une des nombreuses raisons pour lesquelles vous ne devriez pas laisser votre navigateur enregistrer vos mots de passe.)
Le logiciel malveillant était distribué à partir d’un site Web mis à niveau vers Windows[.]com, a rapporté Patrick Schläpfer, analyste des logiciels malveillants chez HP, dans un article de blog officiel de HP hier (8 février). HP a remarqué le faux site Web le 27 janvier, le lendemain de l’annonce par Microsoft que Windows 11 serait disponible en téléchargement gratuit pour tous les appareils éligibles.
« Cette campagne met une fois de plus en évidence la rapidité avec laquelle les attaquants profitent d’événements actuels importants, pertinents et intéressants pour créer des leurres efficaces », a écrit Schläpfer. « Les annonces et les événements importants sont toujours des sujets intéressants pour les acteurs de la menace, qui peuvent être exploités pour propager des logiciels malveillants. »
Comment fonctionne le faux programme d’installation de Windows 11
Le site ressemblait à un site officiel de Microsoft, jusqu’au logo du fabricant du système d’exploitation, à la mise en page du site et à l’esthétique minimaliste. « Obtenir Windows 11 » était affiché bien en évidence, et en dessous se trouvait un bouton qui disait « TÉLÉCHARGER MAINTENANT ».
Si vous avez cliqué sur ce bouton, a déclaré Schläpfer, vous accéderez à un serveur de stockage Discord et téléchargerez un fichier compressé de 1,5 Mo appelé Windows11InstallationAssistant.zip. Décompressé, le fichier a atteint 753 Mo, un taux de compression phénoménal de 99,8 %, a noté Schläpfer.
Il s’est avéré qu’une grande partie du fichier principal de 751 Mo, Windows11InstallationAssistant.exe, n’était qu’un rembourrage composé de zéros répétés, d’où le taux de compression extrême. Pourquoi aurait-il besoin de tant de rembourrage ?
« L’une des raisons pour lesquelles les attaquants auraient pu insérer une telle zone de remplissage, rendant le fichier très volumineux », a écrit Schläpfer, « est que les fichiers de cette taille pourraient ne pas être analysés par un antivirus et d’autres contrôles d’analyse, augmentant ainsi les chances que le fichier puisse exécuter sans entrave et installer le logiciel malveillant. »
Si vous exécutez Windows11InstallationAssistant.exe, vous obtenez une opération de ligne de commande qui dure exactement 21 secondes, puis télécharge ce qui ressemble à un fichier JPEG appelé win11.jpg.
Cela semble inoffensif, non ? Pas tout à fait – si vous lisez le code JPEG à l’envers, vous obtenez un fichier de bibliothèque de liens dynamiques (DLL) qui contient le voleur d’informations RedLine, une charge utile qui atterrit sur vos genoux lorsque vous exécutez le prétendu « Assistant d’installation » sur votre PC.
RedLine « collecte diverses informations sur l’environnement d’exécution actuel, telles que le nom d’utilisateur, le nom de l’ordinateur, les informations sur les logiciels et le matériel installés », a expliqué Schläpfer. « Le logiciel malveillant vole également les mots de passe stockés dans les navigateurs Web, les données de saisie semi-automatique telles que les informations de carte de crédit, ainsi que les fichiers de crypto-monnaie et les portefeuilles. »
Même si la mise à niveau de Windows[.]com n’est plus en place, il sera facile pour les escrocs de réessayer sur un autre domaine, voire d’utiliser un leurre différent. En fait, Schläpfer a noté que les mêmes méchants semblent avoir été à l’origine d’une campagne très similaire en décembre qui a utilisé un faux site d’installation Discord pour distribuer RedLine.
Comment se protéger de cette attaque de malware
Pour vous protéger de RedLine et d’autres formes de logiciels malveillants, vérifiez l’URL (adresse Web) de chaque site à partir duquel vous téléchargez un logiciel et exécutez chaque fichier d’installation via un antivirus avant de l’ouvrir. (La plupart des meilleurs programmes antivirus Windows reconnaissent RedLine pour ce qu’il est.)
Et faites preuve de bon sens – un site Web aléatoire qui n’a pas « microsoft.com » dans le nom de domaine mais qui propose de toute façon des installations Windows n’est probablement pas légitime.