RedLine : le malware déguisé en mise à jour vers Windows 11

RedLine : le malware déguisé en mise à jour vers Windows 11

Des experts en sécurité de HP ont découvert un site Web trompeur aux couleurs de Microsoft qui propose le téléchargement d'une pseudo mise à jour vers Windows 11 cachant un dangereux malware voleur de données personnelles.

On le sait, les pirates et les escrocs ne manquent jamais d'imagination pour tromper leurs victimes. Une nouvelle preuve vient encore de nous en être donnée par HP, dont les experts en sécurité ont découvert une nouvelle méthode aussi originale qu'efficace pour diffuser un malware. Comme ils l'expliquent dans un billet très détaillé publié sur leur blog, les chercheurs du HP Threat Research on noté qu'un nom de domaine très particulier avait été enregistré fin janvier, au nom d'une mystérieuse organisation située en Russie.

Nom de domaine : windows-upgraded.com
Date de création : 2022-01-27T10:06:46Z
Bureau d'enregistrement : NICENIC INTERNATIONAL GROUP CO., LIMITED
Organisation déclarante : Ozil Verfig
État/Province du déclarant : Moscou
Pays du déclarant : RU

En pratique, l'URL correspond à un site Web qui imite à la perfection tous les codes visuels de Microsoft et qui propose tout simplement d'effectuer une mise à jour vers Windows 11. On pourrait se croire sur un site officiel, si on ne fait pas attention à l'adresse. Sauf qu'un clic sur le bouton Download Now déclenche le téléchargement d'un fichier au format Zip (Windows11InstallationAssistant.zip). La décompression de cette archive apparemment légitime engendre une succession d'actions diverses, et notamment d'un logiciel malveillant bien connu, RedLine Stealer (ou RedLine tout court), qui circule depuis décembre 2021 et qui est spécialisé dans le vole de données confidentielles (identifiants, mots de passe, numéros et codes de carte bancaires, etc.). Une fois le PC infecté, RedLine effectue d'ailleurs un inventaire détaillé du système (nom d'utilisateur, configuration matérielle, données de localisation, etc.) en volant au passage les éventuelles cryptomonnaies de la victime. 

Si le site usurpateur a été fermé depuis qu'il a été démasqué, RedLine et le fichier Windows11InstallationAssistant.zip circulent encore sur le Net. Et il ne serait pas étonnant qu'ils soient utilisés sous d'autres formes, et par d'autres voies, pour tromper et dévaliser d'autres utilisateurs. Attention donc. Si vous êtes tenté par une mise à niveau de Windows 10 vers Windows 11, consultez notre fiche pratique et allez sur le site officiel de Microsoft. Et, d'une façon générale, regardez toujours la véritable ULR du site que vous visitez dans la barre d'adresse de votre navigateur. Et ne téléchargez pas n'importe quoi…

Guide piratage