Une fausse MAJ Windows déploie un virus indétectable. Le déploiement d’une campagne de piratage cible actuellement les utilisateurs francophones. Cela via un faux site Microsoft proposant la mise à jour Windows 11 24H2. L’objectif étant d’installer une menace invisible pour 69 moteurs antivirus du marché. C’est un code malveillant qui s’incruste dans le système en modifiant le registre et en se déguisant grossièrement en application Spotify.
Une machination numérique particulièrement vicieuse
Les experts en cybersécurité viennent de lever le voile sur une machination numérique particulièrement vicieuse. Depuis plusieurs jours, une attaque ciblée vise en priorité les utilisateurs francophones. L’environnement visuel de Microsoft est imité à la perfection. L’internaute est poussé à télécharger ce qu’il pense naïvement être la toute dernière version de son système d’exploitation favori. Derrière cette page rassurante et professionnelle se cache pourtant une ingénierie sociale complexe. Plusieurs langages y sont disposés pour s’infiltrer en douceur au sein des machines.
Pourquoi cette page de téléchargement est-elle dangereuse ?
Nous avons pour commencer, le typosquatting (la pratique consistant à enregistrer une adresse web trompeuse). La victime atterrissant sur une copie conforme des serveurs de la marque. De fait, il clique sur un bouton de téléchargement tout à fait ordinaire. C’est à ce moment précis que le piège se referme. L’exécutable qui atterrit sur le disque dur est en réalité un Malware redoutable encapsulé dans un installeur open-source parfaitement légitime.
Comment s’y sont pris les pirates ?
Ils ont en effet combiné des scripts en Électron, JavaScript et Python (différents langages de programmation web) pour masquer la procédure d’installation. Ces amalgames technologies rendent l’analyse du code particulièrement compliquée pour les outils de sécurité standards. En ce qui concerne le résultat ? Zéro détection sur VirusTotal. Même passé le fichier à la moulinette de 69 moteurs d’analyse différents, se sera néant. Les systèmes d’évaluation comportementale n’y ont vu qu’un risque très faible. Cette capacité d’évasion démontre une maîtrise technique indéniable de la part des assaillants.
Comment la menace s’introduit-elle dans le PC ?
Une fois déployé via ce Site frauduleux, le programme utilise deux méthodes distinctes pour camoufler ses traces. La première consiste à cibler directement la base de registre du système d’exploitation. Elle y injecte une valeur nommée « SecurityHealth ». Cette appellation est conçue sur mesure pour imiter le véritable module de santé de l’antivirus Defender. La seconde technique est plus simpliste, mais tout aussi efficace. Le programme crée un simple raccourci dans le dossier de démarrage automatique de la machine. Ce fichier est astucieusement renommé « Spotify.lnk ». Il se fait ainsi passer pour la célèbre application de streaming musical. L’utilisateur moyen n’y verra que du feu en consultant son gestionnaire des tâches. C’est cette combinaison toxique qui rend l’extraction de l’intrus incroyablement fastidieuse.
Que faire pour éviter cela ?
Le vecteur humain reste le principal transmetteur de l’infection. Si cette opération cible actuellement les pays francophones, il est évident qu’elle s’étendra rapidement à d’autres régions du globe. La parade est simple : Il ne faut jamais installer de Mise à jour Windows depuis un navigateur internet. Peu importe la qualité visuelle de la page proposée. La méthode la plus sûre, elle consiste à passer directement par les paramètres natifs du système. Les utilisateurs doivent se rendre dans le menu de configuration de leur OS (Operating System) et laisser l’outil intégré faire son travail de vérification. Ce réflexe élémentaire permet de bloquer la majorité des pirates avant même qu’ils n’agissent.
Pour plus d’informations : cliquez ici.
