Découverte de fausses alertes de mises à jour Windows.

5/5 - (2 votes)

Découverte de fausses alertes de mises à jour Windows.

Le nouveau rançongiciel « Big Head » affiche une fausse alerte de mise à jour Windows. Les chercheurs en sécurité ont étudié une souche de rançongiciel récemment apparue nommée « Big Head » qui pourrait se propager par le biais de publicités malveillantes faisant la promotion de fausses mises à jour Windows et de faux installateurs Microsoft Word. Deux échantillons du malware ont déjà été analysés par la société de cybersécurité Fortinet , qui a examiné le vecteur d’infection et la manière dont le malware s’exécute.

Selon Trend Micro, « Après un examen plus approfondi, nous avons découvert que les deux souches partageaient un e-mail de contact commun dans leurs notes de rançon, ce qui nous amène à soupçonner que les deux variantes différentes provenaient du même développeur de logiciels malveillants. En examinant ces variantes plus en détail, nous avons découvert un nombre important de versions de ce logiciel malveillant. Dans cette entrée, nous approfondissons les routines de ces variantes, leurs similitudes et leurs différences, et l’impact potentiel de ces infections en cas d’abus pour des attaques. »

Sur le principe, Tout d’abord, un fichier exécutable masque la fenêtre de la console en utilisant WinAPI ShowWindow. Ensuite le logiciel malveillant crée une clé de registre d’exécution automatique qui lui permet de se lancer au démarrage du système. Enfin, il se fait une auto copie qu’il enregistre sous le nom de discord.exe dans un dossier local de l’utilisateur.

Toujours selon Trend Micro, « L’analyse et le reporting des variantes permettent d’analyser les codes, les comportements et les vulnérabilités potentielles. Ces informations peuvent ensuite être utilisées pour développer des contre-mesures, corriger des vulnérabilités et améliorer les systèmes de sécurité afin d’atténuer les risques futurs. D’un point de vue technique, ces développeurs de logiciels malveillants ont laissé des chaînes reconnaissables, utilisé des méthodes de cryptage prévisibles ou mis en œuvre des techniques d’évasion faibles ou facilement détectables. »


Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.


Trend Micro est une société basée à Tokyo au Japon. La société développe des logiciels de sécurité pour les serveurs, les environnements de cloud computing, les particuliers et pour les petites et moyennes et entreprises. Trend Micro reçoit son intelligence de menace auprès de TrendLabs, le centre de recherche, de développement et de support de l'entreprise. TrendLabs compte dix laboratoires dans le monde entier et a son siège social aux Philippines et emploie 1 200 experts et ingénieurs en sécurité. Le laboratoire basé à Singapour de la société fournit des méthodes et des analyses de logiciels malveillants.


Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut