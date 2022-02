HP met en garde contre le malware RedLine Stealer, qui se fait passer pour un programme d'installation de Windows 11.



HP, qui dispose d'une équipe d'analystes des menaces, a publié sur son blogue de recherche sur les menaces un article détaillant une nouvelle campagne délicate de logiciels malveillants. Un jour seulement après que Microsoft ait annoncé que Windows 11 entrait dans sa phase finale de disponibilité, devenant disponible pour un large déploiement sur les appareils éligibles, HP a découvert qu'une personne dont les informations d'enregistrement pointaient vers Moscou, en Russie, avait nouvellement enregistré le domaine windows-upgraded[.]com.







Ce domaine nouvellement enregistré pointait vers un site Web qui copiait l'apparence d'un site Web légitime de Microsoft. Les utilisateurs qui visitaient le site trouvaient un bouton les invitant à télécharger un programme d'installation de Windows 11. En cliquant sur ce bouton, ils téléchargeaient un fichier intitulé Windows11InstallationAssistant.zip, hébergé sur le réseau de diffusion de contenu de Discord.



Le fichier zip suspect ne fait que 1,5 Mo, mais il passe à 753 Mo une fois décompressé. 751 de ces mégaoctets constituent un exécutable nommé Windows11InstallationAssistant.exe. Les deux autres mégaoctets composent six DLL Windows différentes et un fichier XML. La compression de l'ensemble du paquet de 753 Mo en seulement 1,5 Mo nécessite un taux de compression de 99,8 %, ce qui est très élevé par rapport au taux de compression zip moyen pour les exécutables, qui est de 47 %.



Ce taux de compression élevé est obtenu en remplissant une grande partie du fichier exécutable avec des octets 0x30 facilement compressibles. Ce remplissage augmente la taille non compressée de l'exécutable au-delà de la taille que de nombreux outils d'analyse des logiciels malveillants sont capables de traiter. Par conséquent, l'exécutable malveillant peut ne pas être détecté par les logiciels antivirus, ce qui permet aux utilisateurs peu méfiants d'exécuter le fichier.







Une fois exécuté, l'exécutable lance un processus PowerShell avec un argument codé qui lance un processus cmd.exe avec un délai d'attente de 21 secondes. Au bout de 21 secondes, le processus initial récupère un fichier intitulé win11.jpg sur un serveur distant. Ce nouveau fichier n'est pas réellement un fichier image JPEG, mais contient plutôt un fichier DLL stocké en ordre inverse.



Le processus initial inverse le contenu du nouveau fichier récupéré et charge le fichier DLL résultant, qui s'avère être le malware RedLine Stealer. Ce malware collecte des informations telles que les noms d'utilisateurs, les noms d'ordinateurs, les logiciels installés, les informations matérielles, les mots de passe stockés dans les navigateurs Web, les données de complétion automatique telles que les informations de cartes de crédit et les portefeuilles de crypto-monnaies.



Cette nouvelle campagne de logiciels malveillants d'installation de Windows 11 fait écho à une autre campagne récemment analysée par HP, dans laquelle l'acteur malveillant a déguisé le logiciel malveillant en installateur de l'application Discord. L'acteur malveillant a enregistré discrodappp[.]com auprès du même registraire de domaine, utilisé les mêmes serveurs DNS et diffusé la même famille de logiciels malveillants que dans cette nouvelle campagne d'installation de Windows 11.



L'article du blogue de HP sur cette nouvelle campagne contient plus de détails.



HOTHARDWARE