Si un site Web vous demande d'installer manuellement une « mise à jour Windows » à partir d'un gros bouton de téléchargement bleu, fermez immédiatement cet onglet. Malwarebytes vient de repérer un faux site Web d'assistance Microsoft (microsoft-update.support) qui prétend proposer une mise à jour cumulative pour Windows 24H2 mais propose en réalité un malware voleur de mots de passe.
La page entière est habillée pour avoir un aspect officiel, et utilise même une référence de style KB appropriée et télécharge un fichier MSI de 83 Mo appelé Windowsupdate1.0.0.msi qui semble tout à fait légitime même dans les propriétés du fichier.
Ce que fait réellement le malware
Le site est actuellement rédigé en français, ce qui suggère que l'arnaque cible actuellement en priorité les utilisateurs francophones. Mais Malwarebytes prévient que ces opérations peuvent se propager rapidement. Le programme d'installation lui-même a été construit avec le jeu d'outils WiX légitime, et ses métadonnées sont usurpées pour lui donner l'impression d'avoir été créé par Microsoft. Cela l'aide à s'intégrer à la fois pour les utilisateurs et pour certains contrôles de sécurité de base.
Le MSI dépose une application basée sur Electron dans le dossier AppData de l'utilisateur, puis lance des composants supplémentaires, y compris un runtime Python déguisé. À partir de là, le logiciel malveillant récupère ensuite les outils et packages associés au vol de données, tels que les composants utilisés pour le chiffrement, l'inspection des processus et un accès Windows plus approfondi. La société affirme que le code malveillant cible également Discord en modifiant ses fichiers pour intercepter les jetons de connexion, les détails de paiement et les modifications d'authentification à deux facteurs.
Malwarebytes affirme qu'il prend également les empreintes digitales des victimes en vérifiant l'adresse IP et la géolocalisation, contacte l'infrastructure de commande et de contrôle hébergée via Render et Cloudflare Workers et télécharge les données volées via Gofile.
Pourquoi devriez-vous tenir compte de cet avertissement
Un détail troublant découvert dans le rapport est qu'au moment où Malwarebytes l'a analysé, l'exécutable principal et le lanceur n'ont montré aucune détection sur des dizaines de moteurs antivirus sur VirusTotal. La société affirme que c'est parce que le logiciel malveillant cache sa logique dans du JavaScript obscurci, des composants Electron légitimes et des outils Python fournis au moment de l'exécution au lieu d'un binaire manifestement malveillant. Donc en gros, ne tombez pas dans le piège de ce faux site de support Windows. Cela ne vous aide pas à patcher votre PC. Il essaie de le voler.
