RedLine : attention à cette fausse mise à niveau Windows 11 !
Si vous êtes sur Windows 10 et que vous cherchez à passer sur Windows 11, méfiance au moment de télécharger le programme de mise à jour du système ! Des pirates informatiques profitent de la situation pour distribuer le malware RedLine par l'intermédiaire d'un site qui reprend l'aspect du site officiel Microsoft.
Récemment, Windows 11 est rentré en phase finale de déploiement auprès du plus grand nombre, et les pirates informatiques derrière le malware RedLine comptent bien profiter de cette situation. Ils profitent aussi du fait que certains utilisateurs vont chercher à obtenir Windows 11 sur d'autres sites afin de contourner les problèmes de compatibilités matérielles. Grâce à ce timing qui semble parfait, les pirates espèrent bien entendu faire un maximum de victimes. D'autant plus que le malware RedLine va bien se servir une fois présent sur votre machine : identifiants et mots de passe, numéro de cartes bancaires, identifiants VPN, identifiants FTP, cookies, etc...
D'après les chercheurs de chez HP qui ont découvert cette campagne malveillante, les pirates ont mis en ligne le site "windows-upgraded[.]com" afin qu'il soit utilisé comme un point de distribution pour le malware RedLine. Ce site n'est pas bâclé, car il reprend la charte graphique du site officiel de Microsoft, ce qui peut s'avérer particulièrement trompeur et efficace auprès de certains utilisateurs.
Sur le site, le bouton "Download Now" permet de télécharger une archive ZIP de 1,5 Mo nommée "Windows11InstallationAssistant.zip" téléchargée directement depuis le CDN Discord. En décompressant cette archive, on obtient un dossier de 753 Mo, ce qui correspond à un taux de compression impressionnant de 99,8%. Si l'utilisateur fait l'erreur de lancer l'exécutable, il y a un changement d'actions : un processus PowerShell démarre avec un argument encodé, ensuite un processus CMD télécharge un fichier JPG depuis un serveur distant. L'étape finale étant l'exécution du malware RedLine afin d'établir une connexion TCP avec le serveur de command & control des pirates.
Même si le site ne semble plus disponible, il y a de fortes chances qu'il soit mis en ligne sur un autre domaine et que des campagnes de phishing soient envoyées par les pirates. C'est probablement même déjà fait.
Pour télécharger Windows 11, c'est uniquement ici que ça se passe : Microsoft.com.
