Posté le avril 19, 2022 à 8:29
LES CHERCHEURS METTENT EN GARDE CONTRE UNE FAUSSE VERSION DE WINDOWS 11
Les hackers cherchent de plus en plus à implanter des logiciels malveillants et à perturber le fonctionnement des réseaux afin de réaliser des gains financiers par le biais de rançons et d’autres moyens.
Et à mesure que la cybersécurité s’intensifie, les mauvais acteurs améliorent régulièrement leurs méthodes d’attaque et leur niveau de sophistication.
Depuis le début de la pandémie de COVID-19 il y a plus de deux ans, les cybercriminels disposent de davantage de moyens pour exploiter les vulnérabilités, notamment contre les systèmes informatiques et les appareils utilisés à distance pour se connecter aux serveurs des entreprises. Certains acteurs malveillants ciblent leurs victimes par le biais de divers sites de phishing en proposant de faux articles promotionnels et en volant les détails des comptes des utilisateurs dans le processus.
Maintenant, un rapport récent a révélé que les acteurs de menaces utilisent une fausse version de Windows 11 qui est accompagnée d’un logiciel malveillant pour voler les portefeuilles de crypto-monnaies et les données de navigateur.
Les attaquants profitent du peu de vigilance des utilisateurs
Les chercheurs en sécurité affirment que la campagne est en cours et qu’elle empoisonne les résultats de recherche pour envoyer un site web simulant la page de promotion de Windows 11 de Microsoft afin de délivrer le voleur d’informations.
Les mauvais acteurs profitent des utilisateurs qui s’empressent d’installer Windows 11 sans prendre le temps de comprendre que le système d’exploitation requiert certaines spécifications.
À l’heure où nous écrivons ces lignes, le site Web malveillant qui propose le faux Windows 11 n’a pas été démantelé. Il a l’air réel puisqu’il affiche le logo officiel de Microsoft et place un bouton « Télécharger maintenant ».
Les chercheurs de CloudSEK, qui ont initialement découvert le problème, ont déclaré que le logiciel malveillant fait partie d’une campagne qui utilise de faux domaines pour héberger la charge utile déployée sur le système informatique ou le périphérique de l’utilisateur.
Les chercheurs ont découvert de faux domaines hébergeant la fausse version de Windows 11
Windows 11 a été officiellement mis à disposition en octobre 2021. Peu de temps après son lancement, les hackers ont commencé à cibler le système d’exploitation. Même lorsqu’il s’agissait encore d’une version beta, les acteurs de la menace ciblaient encore les utilisateurs en proposant des versions de Windows 11. L’année dernière, un organisme de cybersécurité a découvert une campagne de logiciels malveillants sur le thème de Windows 11 qui ciblait les utilisateurs.
À part ce dernier fait en date, les hackers ont continuellement utilisé des logiciels malveillants se faisant passer pour des mises à jour de Windows pour cibler les utilisateurs. Le système Windows 10 a subi et subit encore des attaques similaires sur le thème des mises à jour Windows. À la suite des attaques généralisées contre des utilisateurs Windows ciblés, Microsoft a publié un avis de sécurité pour avertir les utilisateurs que des cybercriminels pourraient les contacter pour leur proposer de fausses mises à jour de Windows 10. Le géant technologique a averti que les utilisateurs qui ouvrent la pièce jointe envoyée par e-mail pourraient injecter un logiciel malveillant dans leur système.
Le dernier logiciel malveillant voleur a été découvert par les chercheurs de ClouSEK. Ils ont désassemblé le logiciel malveillant et procédé à une rétro-ingénierie de son processus d’infection et d’attaque pour bien comprendre l’injection et l’installation de sa charge utile.
Selon les chercheurs, le logiciel malveillant est construit avec le langage de programmation Delphi tandis que le binaire qu’il utilise est codé en Visual Basic avant d’être modifié en exécutables. Les acteurs de la menace ont utilisé un obfuscateur open-source Batch pour masquer le code du logiciel malveillant et ont utilisé Inno Setup 6.1.0 comme installateur du chargeur.
Les attaquants attirent les utilisateurs en utilisant l’empoisonnement SEO
La principale découverte montre que les acteurs de menaces attirent les utilisateurs vers une fausse version de Windows 11 à l’aide de tactiques d’empoisonnement SEO. Selon les chercheurs, le faux site invite les utilisateurs à télécharger le fichier malveillant en le faisant passer pour la version de Windows 11. Une fois que l’utilisateur sans méfiance a téléchargé le fichier malveillant, un logiciel malveillant à plusieurs niveaux est lancé sur le système.
Le voleur de cryptomonnaie procède au vol des données des utilisateurs, quel que soit le type de navigateur utilisé sur le système ciblé. Cela signifie qu’une fois que le logiciel malveillant pénètre dans le système, toutes les informations critiques concernant le portefeuille de crypto-monnaies de l’utilisateur peuvent être volées.
Le logiciel malveillant chiffre ensuite le fichier volé et le transmet au serveur de contrôle (C2) de l’attaquant. Le travail à distance et hybride étant toujours utilisé par de nombreux employés dans plusieurs régions, beaucoup d’entre eux souhaitent passer à la version 11 de Windows pour s’assurer que leur travail ne soit pas interrompu.
Les acteurs de la menace voient des failles parmi les travailleurs hybrides et distants qui peuvent utiliser des appareils personnels pour leurs mises à jour. C’est là que les attaquants veulent frapper pour essayer de s’introduire dans les systèmes informatiques ou les appareils des utilisateurs.
Bien que Microsoft ajoute, comme cela a toujours été le cas, davantage de fonctions de sécurité, les employés restent très vulnérables. Certains d’entre eux ne sont pas très vigilants lorsqu’ils tentent de passer à la version 11 de Windows. Cela les expose à davantage de risques d’exploitation et d’attaques.
