Des pirates ont détourné le portail officiel de téléchargement du système d’exploitation Windows 11 pour distribuer le malware Vidar.
Le spécialiste des solutions de cybersécurité dans le Cloud Zscaler a annoncé la découverte, dès le mois d’avril, d’un cas d’usurpation d’un portail officiel de téléchargement du système d’exploitation de Microsoft, Windows 11.
Les hackers profiteraient du stratagème pour diffuser le logiciel malveillant voleur d’informations, Vidar.
En surveillant le trafic suspect, le laboratoire de détection des menaces de Zscaler a découvert que plusieurs domaines tout récemment enregistrés ont été créés par un acteur cybermalveillant, dans le but de tromper les utilisateurs avec un faux portail de téléchargement de l’OS Windows 11.
Ces fameux sites usurpés ont été mis au point pour distribuer auprès des cibles des fichiers ISO malveillants qui aboutissent à une infection de la machine par un malware de type Vidar infostealer.
Dans le détail, les variantes de Vidar permettent de récupérer la configuration C2 depuis des canaux de médias sociaux alors contrôlés par les cybercriminels et hébergés sur la messagerie instantanée Telegram et le réseau qui veut concurrencer Twitter, Mastodon.
Selon Zscaler, le même acteur de la menace fait appel à l’ingénierie sociale pour piéger ses victimes et se faire passer pour des applications logicielles populaires légitimes, toujours pour distribuer le malware Vidar.
Un dépôt GitHub, qui héberge différentes versions de backdoors du logiciel Adobe Photoshop, a ainsi été identifié, et il est évidemment contrôlé par les hackers. Ces derniers distribuent Vidar, qui utilisent des tactiques similaires d’abus des canaux de médias sociaux pour la communication C2.
Là où les hackers ont été malins, c’est sur la taille du fichier ISO téléchargé au moment où vous pensez récupérer le dernier OS de bureau de Microsoft, car celui-ci pèse plus de 300 Mo. Cela lui permet d’échapper à la détection des produits de sécurité réseau. D’ailleurs, le binaire à l’intérieur de l’ISO est signé numériquement avec un certificat Avast (certes expiré et invalide).
Concernant le vecteur de distribution Adobe Photoshop plus particulièrement, le référentiel GitHub identifié et contrôlé par l’attaquant héberge également les versions dérobées de la suite applicative Adobe Creative Cloud, également désignées au même acteur.
Ce qu’il faut retenir de tout cela, c’est la capacité des cyberattaquants à inciter leurs victimes à installer Vidar en utilisant des applications « à la mode » (de type Mastodon et Telegram) ou particulièrement populaires (de type Adobe Photoshop), en profitant bien évidemment de la période transitoire qui pousse les utilisateurs de Windows 10 à basculer sur Windows 11.
Notre recommandation reste de ne pas télécharger les logiciels que depuis les sites web officiels, en ayant vous-même tapé la requête dans votre moteur de recherche.
Alexandre Boéro