Actualités

“Les attaquants ont copié la conception du site Web légitime de Windows 11” : quand un installateur est détourné pour instiller RedLine Stealer !

Début Février 2022, les chercheurs sécuritaires HP ont grandement alerté, concernant le malware RedLine Stealer qui pouvait se retrouver au détour d’un simple téléchargement… de Windows 11 !

 

 

En teneur similaire à l’échantillon de Décembre 2021, celui trouvé, à nouveau, courant Janvier 2022 – le 27 précisément, alors que Microsoft annonçait, la veille, le déploiement finale de l’OS – mettait en relief une nouvelle mise en scène pour cacher la charge virale : en effet, depuis l’installateur dissimulé via le fameux bouton-commande Télécharger (du site ainsi tronqué, miroir de celui dédié à Windows 11, donc) un nom de domaine (windows-upgraded [.] com) a été observé. Ce dernier serait assimilable, selon les analyses des chercheurs, à Nicenic International group Ltd, une entreprise qui serait originaire de Russie.

 

Une fois le bouton cliqué ou tapé, l’archive (.ZIP – Windows11InstallationAssistant : 1,5 Mo), déverse son contenu (6 DLLs + 1 XML + 1 EXE) ainsi décompressé sur le terminal de la victime, soit quelques 753 Mo, en exécutant un processus (PowerShell – arg. chiffré) qui en appelle un autre (CMD.exe) avant d’appeler, cette fois de manière distante, une image (win11[. ] jpg). Ce média intègre, en réalité, une DLL malicieuse pour chercher et remplacer  le thread existant pour rendre opérationnel, en finalité, RedLine Stealer, qui se chargera d’ex-filtrer un certain nombre d’informations telles que :

 

  • Nom-système,
  • Configuration-système (logiciel + matériel),
  • Mots de passe (depuis les navigateurs Web),
  • Saisie semi-automatique (dont informations bancaires ou crypto-financières…).

 

 

L’envoi et la réception fonctionne en communication-connexion TCP via un serveur command-and-control. “La grande zone de remplissage est située à la fin du fichier juste avant la signature du fichier. En raison d’une incompatibilité de résumé, la vérification de la signature entraîne une erreur, c’est pourquoi nous ne l’avons pas incluse davantage dans l’analyse. En tronquant la zone de remplissage ainsi que la signature, on obtient un exécutable portable valide. L’une des raisons pour lesquelles les attaquants ont pu insérer une telle zone de remplissage, rendant le fichier très volumineux, est que les fichiers de cette taille peuvent ne pas être analysés par un antivirus et d’autres contrôles d’analyse, augmentant ainsi les chances que le fichier puisse s’exécuter sans entrave et s’installer. le logiciel malveillant“, est-il expliqué par les chercheurs, quand à la composition de la fameuse archive qui possède un taux de compression de 99,8 % ; ce dernier démontrant, par rapport au taux moyen dans ce domaine de 47 %, un padding anormal. Bien évidemment, si la menace a été identifiée, comme toujours, il convient de télécharger un logiciel, mise à jour ou application uniquement depuis les sites-éditeurs officiels, en évitant les sites tiers ou en regardant (par glissé de souris, par exemple) que le macro-bouton renvoie bien à une URL officielle… A veiller !

 

 

 

Source : ThreatSearch (HP) – 8 Février 2022 – RedLine Stealer : nouvelle occurrence malveillance par duplication du site de téléchargement de Windows 11.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6