Un faux écran Windows Update incite les utilisateurs Windows à installer des logiciels malveillants

Les attaques d’ingénierie sociale restent probablement parmi les moyens les plus utilisés pour infecter un ordinateur ou voler les données de quelqu’un. Une attaque d’ingénierie sociale bien exécutée peut avoir des conséquences assez désastreuses. Celui-ci implique même un faux écran Windows Update pour arrondir les choses.

Les chercheurs en cybersécurité ont découvert une évolution sophistiquée des attaques d'ingénierie sociale « ClickFix », dans lesquelles les acteurs de la menace combinent désormais de fausses animations Windows Update réalistes avec des techniques avancées d'ingénierie sociale pour compromettre les systèmes. Si vous ne savez pas ce qu'est une attaque ClickFix, son objectif est d'inciter l'utilisateur à effectuer une action que le logiciel de sécurité bloque généralement lorsqu'il est effectué automatiquement.

Dans ces nouvelles variantes, les victimes rencontrent des pages de navigateur en plein écran imitant une mise à jour de sécurité critique de Windows ou un captcha de « vérification humaine ». La page demande à l'utilisateur d'appuyer sur une séquence spécifique de touches pour résoudre une erreur ou vérifier son identité. À l'insu de l'utilisateur, JavaScript exécuté sur le site malveillant a déjà copié une commande malveillante dans son presse-papiers. Lorsque l'utilisateur suit les instructions d'appui sur une touche (impliquant souvent un collage dans la zone d'exécution de Windows ou dans l'invite de commande), il exécute par inadvertance le code de l'attaquant.

C'est en fait assez intelligent, et c'est pourquoi c'est effrayant. Ce qui différencie cette campagne spécifique, c'est l'utilisation de la stéganographie pour dissimuler la charge utile des logiciels malveillants. Plutôt que de télécharger un fichier malveillant reconnaissable, les attaquants cachent le code dans les données pixel des images PNG. Les chercheurs de Huntress ont expliqué que le code malveillant est codé directement dans des canaux de couleur spécifiques de l'image. Pour un observateur occasionnel ou une analyse de sécurité de base, le fichier semble être une image inoffensive. Cependant, la chaîne d'attaque comprend un assemblage .NET connu sous le nom de « Stego Loader ». Ce chargeur est chargé d'analyser l'image, d'extraire la charge utile cryptée des pixels et de la déchiffrer en mémoire.

La façon dont cela fonctionne est que vous visitez un site Web affichant une fausse erreur en plein écran, telle qu'une mise à jour Windows bloquée ou une vérification « vérifiez que vous êtes humain ». Les scripts en arrière-plan du site copient secrètement le code malveillant dans le presse-papiers de votre ordinateur. L'écran vous demande d'ouvrir l'invite « Exécuter » de Windows et de coller le texte pour « résoudre » le problème. Une fois que vous avez appuyé sur « Entrée », la commande télécharge un fichier image apparemment inoffensif, qui contient en fait le logiciel malveillant qui est ensuite déchiffré par Stego Loader. La fonction de point d'entrée initie des appels à 10 000 fonctions vides pour épuiser ou confondre les outils d'analyse avant d'exécuter la charge utile réelle.

Vous ou moi ne serions probablement pas victimes de cela. Mais pensez à une personne âgée qui pourrait se laisser tromper par cela, peut-être en cliquant sur le mauvais lien en ligne. Un désastre imminent. Pour éviter cela, vous pouvez désactiver la case Exécuter sur le PC de votre grand-père, mais vous ne pouvez pas faire grand-chose d'autre.

Source: Ordinateur qui bipe