Les mises à jour corrigent normalement plus de problèmes qu’elles n’en amènent. Mais la dernière découverte des spécialistes en cybersécurité de chez Huntress ne respecte pas vraiment cette règle. Et pour cause, il s’agit d’une tentative (pas si élaborée) de répandre des malwares.
Comme le détaille Bleeping Computer, certains sites font apparaître de fausses pages de mises à jour Windows pour tromper des victimes et les encourager à télécharger des fichiers vérolés.
Chez Lenovo, le code BLACKFRIDAY vous offre une remise de 500 € sur le surpuissant Legion 5i 15″. Au programme : carte graphique Nvidia RTX 5070, processeur Intel Core i7 13e génération, 32 Go de RAM, écran 165 Hz… pour 1 299 € au lieu de 1 799 €.
Une mise à jour suspicieuse
Le mécanisme est en apparence assez grossier, même s’il cache une technicité intéressante. En substance, lorsqu’un ou une internaute arrive sur une page malveillante, cette dernière affiche, en plein écran, une image animée ressemblant comme deux gouttes d’eau à l’écran de mises à jour traditionnelles de Windows.
Après un certain temps à mouliner, une consigne apparaît demandant aux victimes d’ouvrir une invite de commandes Windows et de coller puis d’exécuter une suite de caractères qui va télécharger le fichier vérolé. Tout ça sous couvert de « Compléter l’installation d’une mise à jour critique de sécurité ». Les pirates ont au moins un certain sens de l’humour.
La commande va en réalité télécharger, puis exécuter du code JavaScript malicieux destiné à voler vos informations personnelles. Mais plutôt que de télécharger directement un fichier « virus.exe », le code va en réalité rapatrier un fichier PNG dans le code duquel est embarqué le logiciel malveillant via un processus de stéganographie. Cela permet au logiciel d’échapper aux méthodes de détection traditionnelles des virus et autres malwares.
Comment éviter de se faire piéger ?
Si le faux écran Windows est assez convaincant, l’action nécessitant d’exécuter une commande pour compléter une mise à jour devrait immédiatement vous alerter, puisque, en aucun cas, cela n’est nécessaire à l’installation d’un quelconque composant système.
Pour aller plus loin
N’achetez pas vos câbles USB-C n’importe où, ils pourraient contenir des virus
Et pourtant, selon un rapport de Microsoft daté de 2024, les attaques se reposant sur ce mécanisme « ClickFix » représentent 47 % des tentatives d’intrusion détectées par Windows Defender. Soyez donc prévenu, si un quelconque site vous demande d’exécuter une commande, ne le faites pas à moins d’être absolument sûr de vous. Dans le doute, appuyez sur le bouton « échap » pour quitter le mode plein écran ou redémarrez votre ordinateur.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix