Les acteurs de la menace ont commencé à distribuer de faux programmes d’installation de mise à niveau de Windows 11 aux utilisateurs de Windows 10, les incitant à télécharger et à exécuter le malware voleur RedLine.
Le moment des attaques coïncide avec le moment où Microsoft a annoncé la vaste phase de déploiement de Windows 11, de sorte que les attaquants étaient bien préparés pour ce mouvement et ont attendu le bon moment pour maximiser le succès de leur opération.
Le voleur RedLine est actuellement le récupérateur d’informations sur les mots de passe, les cookies de navigateur, les cartes de crédit et les portefeuilles de crypto-monnaie le plus largement déployé, de sorte que ses infections peuvent avoir des conséquences désastreuses pour les victimes.
La campagne
Selon les chercheurs de HPqui ont repéré cette campagne, les acteurs ont utilisé le domaine apparemment légitime « windows-upgraded.com » pour la partie distribution de logiciels malveillants de leur campagne.
Le site apparaît comme un véritable site Microsoft et, si le visiteur cliquait sur le bouton « Télécharger maintenant », il recevait une archive ZIP de 1,5 Mo nommée « Windows11InstallationAssistant.zip », extraite directement d’un CDN Discord.
La décompression du fichier donne un dossier de 753 Mo de taille, présentant un taux de compression impressionnant de 99,8 %, obtenu grâce à la présence de rembourrage dans l’exécutable.
Lorsque la victime lance l’exécutable dans le dossier, un processus PowerShell avec un argument encodé démarre.
Ensuite, un processus cmd.exe est lancé avec un délai de 21 secondes, et après son expiration, un fichier .jpg est récupéré à partir d’un serveur Web distant.
Ce fichier contient une DLL dont le contenu est disposé à l’envers, éventuellement pour échapper à la détection et à l’analyse.
Enfin, le processus initial charge la DLL et remplace le contexte de thread actuel par celle-ci. Cette DLL est une charge utile de voleur RedLine qui se connecte au serveur de commande et de contrôle via TCP pour obtenir des instructions sur les tâches malveillantes qu’elle doit exécuter ensuite sur le système nouvellement compromis.
Perspectives
Bien que le site de distribution soit désormais en panne, rien n’empêche les acteurs de créer un nouveau domaine et de relancer leur campagne. En fait, cela se produit très probablement déjà dans la nature.
Windows 11 est une mise à niveau majeure que de nombreux utilisateurs de Windows 10 ne peuvent pas obtenir des canaux de distribution officiels en raison d’incompatibilités matérielles, ce que les opérateurs de logiciels malveillants considèrent comme une excellente opportunité pour trouver de nouvelles victimes.
Comme EZpublish-france.fr l’a signalé en janvier, les acteurs de la menace exploitent également les clients de mise à jour légitimes de Windows pour exécuter du code malveillant sur les systèmes Windows compromis. Les tactiques signalées par HP ne sont donc guère surprenantes à ce stade.
N’oubliez pas que ces sites dangereux sont promus via des messages de forum et de médias sociaux ou des messages instantanés, alors ne faites confiance qu’aux alertes officielles du système de mise à niveau de Windows.