Une campagne malveillante cible les utilisateurs francophones en imitant le site Windows Update pour leur faire télécharger un logiciel capable de voler leurs mots de passe, leurs données bancaires et leurs accès Discord, sans être détecté par les antivirus.
Des chercheurs de Malwarebytes ont mis au jour une campagne malveillante qui imite le service Windows Update pour infecter les machines de ses victimes. La campagne semble cibler en priorité les utilisateurs francophones.
Comment fonctionne l’arnaque
Le point d’entrée est un faux site web reproduisant l’apparence d’une page Windows Update. L’utilisateur est invité à télécharger ce qui se présente comme une mise à jour importante pour Windows 11 24H2, accompagnée de supposés correctifs de sécurité. Le fichier proposé au téléchargement est un package Windows Installer baptisé « WindowsUpdate 1.0.0.msi ».
Ce fichier a été conçu avec WiX Toolset, un outil open source tout à fait légitime. Une fois exécuté, il installe une application Electron contenant du code JavaScript fortement obfusqué. La chaîne d’infection repose sur plusieurs couches de dissimulation, combinant Electron, JavaScript, Visual Basic et Python, ce qui lui a permis de passer inaperçu auprès des principaux moteurs antivirus au moment de l’analyse.
Ce que le malware cherche à voler
Une fois installé, le malware déploie deux charges utiles distinctes. La première s’attaque aux données sensibles stockées sur la machine : mots de passe, informations de paiement et identifiants de connexion. La seconde cible spécifiquement Discord. Comme cette application repose elle aussi sur Electron, le code malveillant peut en modifier certaines parties afin d’intercepter les tokens de connexion, les données bancaires associées au compte, et même les tokens d’authentification à deux facteurs, à chaque lancement de l’application.
Pour se maintenir sur le système, le malware modifie le registre Windows et dépose un raccourci nommé « Spotify.lnk » dans le dossier de démarrage de l’utilisateur. Il tente ensuite de contacter des serveurs de commande et contrôle pour exfiltrer les données collectées et recevoir de nouvelles instructions.
Pourquoi les francophones sont ciblés
Selon Malwarebytes, le ciblage des utilisateurs francophones n’est probablement pas anodin. Il serait lié à la disponibilité de dizaines de millions de données personnelles issues de récentes fuites, qui circulent actuellement. Exploiter ces données préexistantes permet aux attaquants d’affiner leur ciblage, tout en gardant la possibilité d’adapter la campagne à d’autres langues ultérieurement.
Comment se protéger ?
Malwarebytes rappelle que les mises à jour Windows doivent être installées exclusivement via l’application Paramètres du système d’exploitation ou via le catalogue officiel Microsoft Update. La société a également publié des indications permettant de vérifier si un système a été compromis par ce malware.
