Une fausse mise à jour de Windows 11 circule actuellement sur la Toile : elle contient un logiciel malveillant qui cherche à récupérer vos données personnelles et à voler votre éventuel portefeuille de cryptomonnaies.
Sommaire
- Fausse mise à jour, mais vrai logiciel malveillant
- Inno Stealer à la place de Windows 11
- De nombreux portefeuilles de cryptomonnaies ciblés
- Un danger qui dépasse une simple fausse mise à jour
On ne le dira jamais assez : lorsque vous cherchez des informations sur des logiciels ou des mises à jour, il est essentiel de se fier aux sites officiels des éditeurs, et de bien contrôler la page sur laquelle vous tombez. La preuve, avec cette nouvelle cybermenace qui cible les utilisateurs de Windows à la recherche d’informations sur la manière de passer de Windows 10 à la nouvelle version du système d’exploitation de Microsoft.
Fausse mise à jour, mais vrai logiciel malveillant
Le site en question apparaît encore dans les résultats de recherche de Google, mais le domaine semble avoir été désactivé à l’heure où ces lignes sont écrites. Cela ne signifie pas qu’il ne fera pas un retour prochain sur le Web, car les hackers se montrent souvent assez pugnaces quand il s’agit de faire tomber des internautes dans le panneau.
La page d'accueil du site, désormais désactivé.
La page propose de passer à Windows 11 en toute simplicité, avec un lien « Téléchargez maintenant ». En cliquant, c’est un fichier ISO qui se télécharge : ce format correspond normalement à une image de disque, censée permettre d’installer un logiciel ou, dans le cas présent, un système d’exploitation.
Inno Stealer à la place de Windows 11
Évidemment, en l’exécutant, vous n’obtenez pas Windows 11, mais un joli malware nommé Inno Stealer. Son fonctionnement a été décortiqué par les experts en sécurité de CloudSEK, qui ont donné leur point de vue sur ce dangereux programme au site Bleeping Computer.
Le fonctionnement du malware.
La première manoeuvre de ce logiciel malveillant consiste à prendre le contrôle de certains paramètres de l’ordinateur, en vue de désactiver l’antivirus qui y est installé et de mettre Microsoft Defender hors d’état de nuire. Selon les experts de CloudSEK, les solutions de sécurité d’Emsisoft et d’ESET sont désactivées facilement par le malware. Il s’installe ensuite dans le dossier C:\Users\\AppData\Roaming\ et prend le nom de Windows11InstallationAssistant.scr.
Rapidement, Inno Stealer commence à récolter des données personnelles récupérées dans les données des navigateurs installés sur la machine, ce qui comprend bien souvent des identifiants et des mots de passe. Il est capable de fonctionner à des plages horaires qui lui laissent le champ libre, comme la nuit, ce qui lui permet d'accéder à un maximum de ressources matérielles.
De nombreux portefeuilles de cryptomonnaies ciblés
L’analyse de CloudSEK montre qu'Inno Stealer cible essentiellement les navigateurs qui fonctionnent à l’aide de Chromium, ce qui comprend bien évidemment Chrome, mais aussi Edge et Vivaldi. Opera est également concerné.
Par ailleurs, le malware est également capable de récupérer des données très sensibles liées à plusieurs dizaines de types de portefeuilles de cryptomonnaies, l’objectif étant d’en voler le contenu. BraveWallet, WalletWasabi, EqualWallet, iWallet, RoninWallet et bien d’autres sont actuellement vulnérables.
Un danger qui dépasse une simple fausse mise à jour
Si le site lié à la fausse mise à jour Windows 11 abritant Inno Stealer est actuellement inactif, ce logiciel malveillant reste tout de même d’actualité. Ses créateurs sont pour l’heure inconnus et CloudSEK explique ne pas avoir trouvé de similitudes avec du code présent dans d’autres malwares en vogue à l’heure actuelle. C’est pourquoi la prudence est de mise concernant le téléchargement de fichiers ISO potentiellement vérolés.
Si vous désirez passer votre PC de Windows 10 à Windows 11, vous n’avez pas besoin de télécharger de fichier IOS : on vous explique comment faire ici !