Des pirates ont créé un faux site Microsoft pour inciter les utilisateurs à télécharger une prétendue mise à jour cumulative Windows 24H2. Le fichier d’installation dissimule en réalité un logiciel malveillant conçu pour voler mots de passe, identifiants et données bancaires.
Les cyberattaques sont désormais plus sophistiquées, ce qui rend leur détection plus difficile. Nous venons d’en avoir l’illustration avec cette nouvelle campagne malveillante qui cible les utilisateurs français de Windows 11. Comme le révèle Malwarebytes, une page frauduleuse de Microsoft hébergée sur le domaine microsoft-update[.]support prétend proposer une mise à jour pour Windows 24H2, accompagnée d’un numéro d’article de base de connaissances (KB) pour paraître crédible.
Sauf que le fichier d’installation cache un dangereux malware capable de dérober vos mots de passe, informations de paiement et identifiants de connexion.
Une fausse mise à jour Windows renferme un malware voleur de mots de passe
“Le choix de cibler les utilisateurs francophones n’est pas le fruit du hasard”, souligne Malwarebytes dans son rapport. L’entreprise de cybersécurité rappelle la multiplication des fuites de données survenues au cours des deux dernières années dans nos contrées. Des compromissions qui permettent aux cybercriminels d’exploiter nos informations personnelles pour rendre leurs campagnes malveillantes plus crédibles.
Si vous cliquez sur le bouton de téléchargement, vous installerez le fichier WindowsUpdate 1.0.0.msi de 83 Mo. Ce dernier semble tout à fait légitime, avec des métadonnées falsifiées attribuant notamment l’éditeur à Microsoft. Une fois exécuté, il fonctionne en arrière-plan et s’efforce de rester discret afin d’échapper à la détection des antivirus.
“Au moment de l’analyse, VirusTotal n’a détecté aucune anomalie sur 69 moteurs d’analyse pour l’exécutable principal et 62 pour le lanceur VBS. Aucune règle YARA n’a été trouvée et l’analyse comportementale a classé l’activité comme présentant un faible risque” rapporte Malwarebytes. Ce n’est pas une défaillance d’un outil en particulier, mais bien le fonctionnement prévu par l’architecture du logiciel malveillant.
Ce dernier parvient à se dissimuler derrière une interface basée sur Electron, qui encapsule du code JavaScript malveillant. Concrètement, les défenses de votre PC reconnaissent la couche Electron externe – un framework utilisé par de nombreuses applications légitimes – comme un élément sain, sans aller plus loin pour déceler le code suspect qui s’y cache.
Que faire si votre PC a été infecté ?
Si vous avez malheureusement téléchargé la fausse mise à jour, on vous recommande de suivre les conseils distillés par Malwarebytes :
- Ouvrez le menu Exécuter (Windows + R)
- Saisissez “regedit” puis validez.
- Accédez à la clé
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Vérifiez si une entrée nommée SecurityHealth pointe vers un fichier WindowsUpdate.exe situé dans le dossier AppData.
- Si c’est le cas, supprimez-la.
Il est également conseillé de :
- Rechercher dans votre dossier de démarrage un raccourci
Spotify.lnkque vous n’auriez pas créé vous-même, et de le supprimer. - Modifier immédiatement tous vos mots de passe potentiellement compromis.
- Lancer une analyse avec un antivirus mis à jour et équipé d’une fonction de détection comportementale.
Pour éviter d’infecter votre PC, passez toujours par le menu Windows Update. Ne téléchargez jamais une mise à jour Windows depuis un site tiers même si celui-ci semble authentique. Soyez notamment vigilant à l’URL affichée dans votre navigateur. Dans cette attaque, le site frauduleux est hébergé sur le domaine microsoft-update[.]support alors que le véritable support de Microsoft se trouve exclusivement sur des pages support.microsoft.com.
