Cette fausse mise à niveau Windows 11 dérobe vos identifiants !
Les pirates informatiques cherchent à tromper les utilisateurs avec une fausse mise à niveau Windows 11 dont l'objectif est d'installer un malware sur votre ordinateur qui va dérober les identifiants enregistrés dans votre navigateur et votre éventuel portefeuille de cryptomonnaie.
Actuellement, la campagne est active et s'appuie sur l'empoisonnement des résultats de recherche sur Internet pour mettre en avant un site web qui est une copie de la page officielle de promotion pour Windows 11, comme celle que l'on retrouve sur le site de Microsoft. Sauf que dans le cas présent, l'utilisateur télécharge un malware et non un utilitaire de mise à niveau vers Windows 11.
Comme on peut le voir sur l'image ci-dessous, le site "windows11-upgrade11[.]com" reprend la même mise en page, les logos, etc... du site de Microsoft. En cliquant sur le bouton "Download now", l'utilisateur télécharge un fichier ISO malveillant.
Fonctionnement du malware Inno Stealer
Les chercheurs en sécurité de chez CloudSEK ont analysé le malware qui se cache dans cette image ISO malveillante. Tout d'abord, il a désormais un petit nom : Inno Stealer, en référence à l'utilisation d'Inno Setup Windows Installer. Au niveau de son code, il n'a pas de similitude avec les autres malwares du même genre. Sur le PC, le malware se met en place grâce au fichier exécutable "Windows 11 setup" et il va rapidement devenir persistant en créant un raccourci dans le dossier "Startup" de la machine.
Plus précisément, le malware va effectuer plusieurs actions sur la machine :
- Désactiver la sécurité du Registre Windows
- Ajouter des exceptions dans Windows Defender
- Supprimer les clichés instantanés
- Désinstaller les produits de sécurité, notamment Emsisosft et ESET car ces produits peuvent le détecter
Au final, un processus nommé "Windows11InstallationAssistant.scr" tourne sur la machine afin de commencer à voler des informations enregistrées dans les navigateurs, notamment dans Chrome, Edge, Brave, Opera, ou encore Vivaldi. Par ailleurs, il va dérober votre éventuel portefeuille de cryptomonnaie puisqu'il vérifie différents emplacements sur le système.
Les données récoltées par le malware sont exfiltrées vers le serveur "windows-server031.com" et il est intéressant de préciser que le malware s'appuie sur un processus multi-thread pour être plus efficace. Finalement, ce nouveau malware semble efficace et particulièrement abouti.
Pour conclure, sachez que la méthode employée par les pirates est loin d'être nouvelle et elle me fait penser à la méthode utilisée il y a quelques mois pour diffuser le malware RedLine. En effet, les pirates s'appuyaient sur le "windows-upgraded[.]com" afin de tromper l'utilisateur et lui faire télécharger le fichier malveillant "Windows11InstallationAssistant.zip".
