Les cybercriminels ne sont jamais à court d'idées. Sans réinventer la roue pour monter des arnaques, ils ont trouvé matière à inspiration dans les ransomwares pour moderniser une tactique visant à extorquer des utilisateurs pris pour cible.

Les fenêtres de type pop-up dans le navigateur et imitant de soi-disant mises à jour Windows qui plantent, voire un prétendu écran bleu de la mort, ne sont pas une nouveauté. C'est toutefois bel et bien un malware qui sévit derrière cette fausse mise à jour Windows.

Le malware est distribué via une fausse version de Flash Player ou du logiciel PC optimizer. Après redémarrage de la machine, il affiche un écran de mise à jour à l'apparence familière, puis un autre écran avec un message pour attirer l'attention sur une clé de produit non valide.

malware-fausse-mise-jour-windows-1 malware-fausse-mise-jour-windows-2

Il n'est pas possible de se débarrasser de cet écran avec les raccourcis clavier usuels tels que Alt + F4 ou d'autres astuces. Tout est fait de manière à ce que la seule échappatoire possible semble être d'appeler un support technique qui sera tout aussi faux.

Malwarebytes Labs a tenté l'expérience avec le numéro de téléphone indiqué. Au bout du fil, un prétendu technicien Microsoft qui propose de lancer une fonctionnalité cachée avec Ctrl + Shift + T. C'est alors une fenêtre pour un contrôle à distance avec TeamViewer qui apparaît. Avant d'aller plus loin, le technicien devient maître chanteur en demandant la somme de 250 $ pour déverrouiller l'ordinateur.

malware-fausse-mise-jour-windows-3
À ce stade, Malwarebytes Labs a arrêté de jouer les candides. Il a été découvert que les auteurs du malware ont codé en dur le raccourci clavier Ctrl + Shift + S et trois " clés de produit " permettant de retrouver l'usage de la machine : h7c9-7c67-jb, g6r-qrp6-h2 ou yt-mq-6w.

Cela ne fera pas forcément mouche avec toutes les instances du malware qui est heureusement identifié par des solutions de sécurité à jour. Un chercheur de Malwarebytes Labs s'inquiète cependant d'une nouvelle tendance pour les cybercriminels. En l'occurrence, elle est beaucoup plus nocive que les fausses alertes via les navigateurs.