Des chercheurs ont découvert plusieurs domaines nouvellement enregistrés. Créés par un acteur de la menace, ils tentent de se faire passer pour le portail officiel de téléchargement de Windows 11 et d’infecter leurs victimes.
C’est l’équipe de recherche de Zscaler qui s’est aperçu de cette usurpation en avril dernier, en surveillant le trafic suspect dans sa plateforme Cloud de sécurité. “Ces sites usurpés ont été créés pour distribuer des fichiers ISO malveillants qui conduisent à une infection Vidar infostealer sur le terminal“, expliquent les chercheurs. Ce malware peut récolter des données, des informations d’identification de compte en ligne et de crypto-monnaie, des informations de carte de crédit, etc.
Plusieurs domaines ont été créés à partir du 20 avril 2022 pour héberger des pages Web, comme celle ci-dessous, qui se font passer pour la page de téléchargement officielle de Windows 11.
La taille du fichier ISO est très importante, plus de 300 Mo, ce qui aide les attaquants à échapper aux produits de sécurité réseau lorsqu’une limitation de taille de fichier est en place. Le binaire à l’intérieur du fichier ISO est signé numériquement avec un certificat Avast, un certificat expiré et donc invalide, détaillent les chercheurs. “Tous les fichiers binaires de cette campagne ont été signés par un certificat portant le même numéro de série. En nous basant sur ce numéro de série, nous avons pu découvrir plusieurs autres binaires malveillants provenant de plusieurs campagnes et acteurs différents, ce qui indique probablement qu’il s’agit d’un certificat volé provenant de la compromission Avast en 2019.“
