Tech

Attention : fausse mise à jour Windows 11 sur Facebook — le fichier contient un malware qui vide vos comptes et vole vos cryptos

Des annonces sponsorisées sur Facebook promettant un « upgrade gratuit » vers Windows 11 se sont révélées être une campagne de phishing sophistiquée. Au lieu du système d’exploitation attendu, les internautes qui cliquent et téléchargent l’installateur proposé se retrouvent infectés par un malware voleur de mots de passe et de clés de cryptomonnaies. L’alerte a été lancée par les chercheurs de Malwarebytes : l’opération combine publicité trompeuse, site web imitant l’habillage Microsoft et un binaire hébergé sur un domaine tiers — une chaîne d’attaque pensée pour contourner les protections usuelles. Décryptage des mécanismes, des risques et des bonnes pratiques pour ne pas se faire piéger.

Comment fonctionne l’arnaque ?

Le scénario est simple mais redoutablement efficace. Première étape : une annonce sur Facebook, rédigée et mise en forme de manière professionnelle, attire l’attention en affichant la promesse d’un passage gratuit à Windows 11. Le message exploite deux leviers classiques : l’urgence (mise à jour gratuite) et l’autorité (design qui rappelle celui de Microsoft).

En cliquant sur le bandeau, l’utilisateur est redirigé vers un site qui reproduit fidèlement logo, typographies et mise en page évoquant la page officielle de Microsoft. La différence notable est l’URL : au lieu d’un domaine Microsoft, on trouve un nom de domaine trompeur (par exemple contenant « 25H2 »). Sur cette page, un bouton « Download Now » permet de lancer le téléchargement d’un fichier exécutable nommé « ms-update32.exe » d’environ 75 Mo.

Troisième étape : l’exécutable n’est pas l’installateur Windows attendu mais un infostealer. Le malware vérifie d’abord la présence d’environnements d’analyse (machines virtuelles, outils de débogage) avant de s’installer proprement. Une fois en place, il collecte cookies de session et mots de passe stockés dans les navigateurs, extrait les seed phrases et fichiers liés aux portefeuilles de cryptomonnaies et ajoute une clé de registre pour assurer sa persistance au redémarrage. Enfin, il supprime les traces temporaires pour complexifier l’investigation.

Article à lire  Deepfakes non consentis : comment des utilisateurs ont déshabillé des photos avec Nano Banana Pro et ChatGPT Images (alerte sécurité)

Pourquoi l’attaque passe‑t‑elle les filtres ?

Plusieurs éléments rendent l’attaque difficile à détecter automatiquement. Le fichier est hébergé sur GitHub — une plateforme légitime et généralement « blanche » pour les filtres de sécurité — de sorte que le navigateur ne génère pas d’alerte habituelle. L’interface publicitaire sur Facebook peut paraître légitime aux yeux des utilisateurs, d’autant que les créatifs sont soignés. Enfin, l’exécutable a des comportements conditionnels (antianalyse) qui retardent la détection par les outils de sécurité classiques.

Quels sont les risques pour les victimes ?

  • Perte de données d’authentification : mots de passe enregistrés dans les navigateurs.
  • Compromission de comptes en ligne : e‑mails, réseaux sociaux, services financiers.
  • Vol de cryptomonnaies : extraction des seed phrases et fichiers de wallet entraînant des pertes financières irréversibles.
  • Accès prolongé au poste : la persistance du malware permet un accès continu à la machine infectée.

    • Signes d’infection et premiers réflexes

    Il est parfois difficile de détecter une infection avant la compromission effective. Toutefois, certains signes peuvent alerter : lenteurs anormales, redirections de navigateur, créations de processus suspects, ou comportements inhabituels sur des comptes précédemment sécurisés. Si vous avez téléchargé un fichier depuis une annonce Facebook promettant Windows 11, voici les étapes immédiates à suivre :

  • Ne pas exécuter le fichier si le téléchargement est en cours ; supprimer le fichier téléchargé et vider la corbeille.
  • Déconnecter la machine d’internet si l’exécutable a été lancé, afin de limiter l’exfiltration de données.
  • Lancer une analyse avec un antivirus à jour ou un outil spécialisé (Malwarebytes, par exemple) depuis un média propre.
  • Changer les mots de passe sur un appareil sain, en commençant par les comptes sensibles (banque, e‑mail, gestionnaires de mots de passe).
  • Vérifier l’intégrité et les accès des portefeuilles de cryptomonnaies ; si des seed phrases ont été exposées, déplacer les fonds vers un wallet sécurisé et considérer les fonds compromis comme perdus.
    • Article à lire  Fuite choc : 17,5 millions de comptes Instagram exposés — changez vos mots de passe maintenant ou risquez le pire

    Pourquoi Microsoft ne promeut pas ses upgrades sur Facebook

    Un point important souligné par les chercheurs est simple : Microsoft distribue ses mises à jour via Windows Update ou des canaux officiels, pas via des annonces sponsorisées sur Facebook. Toute annonce qui prétend offrir un « upgrade gratuit » en dehors des canaux officiels doit être considérée comme suspecte. Vérifiez toujours le domaine de provenance et privilégiez les ressources officielles (support.microsoft.com, Windows Update).

    Que peut faire Facebook ?

    La plate‑forme a une responsabilité réelle dans la modération des annonces. Ici, les attaquants ont utilisé des comptes et domaines redondants pour maintenir la campagne active malgré les suppressions. Facebook/GMeta doit améliorer la détection des publicités imitant des marques, renforcer la vérification des annonceurs et accélérer la suppression des campagnes frauduleuses. Les utilisateurs, quant à eux, ne peuvent pas attendre que la plateforme agisse et doivent garder une vigilance de base.

    Prévention à long terme : bonnes pratiques numériques

  • Téléchargez les mises à jour système uniquement via les canaux officiels.
  • Activez l’authentification à deux facteurs (2FA) sur vos comptes importants.
  • Utilisez un gestionnaire de mots de passe sécurisé plutôt que la sauvegarde automatique du navigateur.
  • Sauvegardez régulièrement vos données sur un support externe hors ligne.
  • Maintenez vos solutions antivirus et anti‑malware à jour et effectuez des analyses régulières.

    • Cette campagne rappelle que l’ingénierie sociale, couplée à des vecteurs publicitaires payants, reste une méthode privilégiée des cybercriminels. L’illusion d’un site officiel et l’hébergement sur une plate‑forme jugée fiable forment un cocktail dangereux. Vigilance et procédures de vérification simples suffisent souvent à éviter le piège : vérifier l’URL, douter des offres trop belles pour être vraies, et privilégier les canaux officiels pour les mises à jour critiques.

    Article à lire  Netflix revoit son offre pour Warner Bros : tout en cash à 27,75 $/action — pourquoi Paramount a changé la donne

    Related Posts

    You May Have Missed