Publié le 20 février 2026 à 13h16. Des cybercriminels exploitent des publicités Facebook payantes pour diffuser un faux programme d’installation de Windows 11 qui vole les données sensibles des utilisateurs, notamment les mots de passe et les informations de portefeuille de cryptomonnaies.
- Des publicités Facebook trompeuses imitent les promotions officielles de Microsoft pour Windows 11.
- Les victimes sont redirigées vers des copies quasi-parfaites de la page de téléchargement de Windows 11.
- Le logiciel malveillant cible les identifiants de connexion, les sessions de navigation et les données de cryptomonnaies.
Une nouvelle campagne d’escroquerie en ligne utilise des publicités Facebook pour inciter les utilisateurs à télécharger un faux programme d’installation de Windows 11. Les attaquants imitent avec précision les communications de Microsoft, créant ainsi un piège particulièrement convaincant pour les internautes désireux de maintenir leur système d’exploitation à jour.
La supercherie commence par une publicité sur Facebook qui semble tout à fait légitime. Elle arbore le logo de Microsoft et promet la dernière mise à jour de Windows 11, incitant les utilisateurs à cliquer sur un bouton « Télécharger maintenant ». Ceux qui succombent à l’appât sont redirigés vers un site web qui reproduit fidèlement l’apparence de la page de téléchargement officielle de Microsoft, avec une attention particulière portée à la mise en page, aux polices et même aux mentions légales.
La seule différence notable réside dans l’adresse web. Au lieu de l’adresse habituelle de Microsoft (microsoft.com), les victimes sont dirigées vers des domaines frauduleux tels que ms-25h2-téléchargement[.]pro, ms-25h2-mise à jour[.]pro, ms25h2-télécharger[.]pro ou ms25h2-mise à jour[.]pro. L’utilisation de « 25H2 » dans ces noms de domaine est intentionnelle, car elle imite la nomenclature utilisée par Microsoft pour ses versions de Windows, notamment la version actuelle 24H2, rendant ainsi les faux domaines plus crédibles.
Les cybercriminels ne ciblent pas aveuglément tous les visiteurs du site web. Avant de diffuser le logiciel malveillant, la page vérifie l’adresse IP de l’utilisateur. Si l’adresse IP est associée à un centre de données (souvent utilisé par les chercheurs en sécurité et les scanners automatisés), l’utilisateur est redirigé vers Google, et le site web semble inoffensif. Seuls les visiteurs qui semblent être des utilisateurs réguliers, naviguant depuis leur domicile ou leur lieu de travail, reçoivent le fichier malveillant.
Cette technique, combinant le géorepérage et la détection des environnements de test, a permis à cette campagne de rester indétectée par les systèmes de sécurité automatisés pendant une période prolongée. Les attaquants ont configuré leur infrastructure pour échapper à l’analyse de sécurité automatisée.
Lorsqu’un utilisateur ciblé clique sur « Télécharger maintenant », le site déclenche un événement « Lead » via le pixel Facebook, une méthode de suivi couramment utilisée par les annonceurs légitimes pour mesurer les conversions. Les attaquants surveillent ainsi les victimes qui tombent dans le piège et optimisent leurs dépenses publicitaires en temps réel.
Le fichier téléchargé, nommé ms-update32.exe, pèse 75 Mo et ressemble à un programme d’installation Windows légitime. Il est hébergé sur GitHub, une plateforme de développement réputée, ce qui lui confère un aspect de légitimité supplémentaire. Le téléchargement s’effectue via HTTPS avec un certificat de sécurité valide, ce qui empêche les navigateurs de le signaler automatiquement comme suspect.
Le programme d’installation a été créé à l’aide d’Inno Setup, un outil légitime souvent utilisé par les auteurs de logiciels malveillants pour créer des packages d’installation d’apparence professionnelle.
Avant d’effectuer des actions malveillantes, l’installateur vérifie s’il est exécuté dans un environnement surveillé, tel qu’une machine virtuelle ou un outil d’analyse. S’il détecte de tels environnements, il s’arrête. Cette logique d’évasion lui permet également d’échapper à de nombreux bacs à sable de sécurité automatisés.
Sur la machine d’un utilisateur réel, le programme d’installation extrait et déploie ses composants. Le composant principal est une application basée sur le framework Electron, installée dans le dossier C:\Users\. Electron est un framework légitime utilisé par des applications telles que Slack et Visual Studio Code, ce qui en fait un déguisement efficace.
Le nom « Lunar » n’est pas anodin, car il est associé aux outils de cryptomonnaie. L’application est livrée avec des bibliothèques Node.js conçues pour créer des archives ZIP, ce qui suggère qu’elle collecte des données, les compresse et les envoie. Les cibles probables incluent les fichiers de portefeuille de cryptomonnaies, les phrases de départ, les informations d’identification du navigateur et les cookies de session.
Simultanément, deux scripts PowerShell obscurcis, portant des noms de fichiers aléatoires, sont écrits dans le dossier %TEMP% et exécutés avec une commande qui désactive intentionnellement les protections de signature de script Windows :
powershell.exe -NoProfile -NoLogo -InputFormat Text -NoExit -ExecutionPolicy Unrestricted -Command -
Pour assurer sa persistance, le logiciel malveillant écrit un gros bloc binaire dans le registre Windows, à l’emplacement suivant : HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults. L’utilisation du chemin de registre TIP (Text Input Processor), un composant Windows légitime, permet de réduire les soupçons.
La télémétrie indique également un comportement cohérent avec l’injection de processus. Le logiciel malveillant crée des processus Windows dans un état suspendu, y injecte du code et reprend l’exécution. Cela lui permet de s’exécuter sous l’identité d’un processus légitime, réduisant ainsi les chances de détection.
Une fois l’exécution établie, le programme d’installation supprime les fichiers temporaires pour minimiser son empreinte numérique. Il peut également lancer des opérations d’arrêt ou de redémarrage du système, susceptibles d’interférer avec l’analyse.
Le logiciel malveillant utilise plusieurs techniques de cryptage et d’obscurcissement, notamment RC4, HC-128, l’encodage XOR et le hachage FNV pour la résolution de l’API, rendant l’analyse statique plus difficile.
L’utilisation de publicités payantes sur Facebook pour diffuser des logiciels malveillants est particulièrement préoccupante. Il ne s’agit pas d’un simple e-mail de phishing, mais de publicités qui apparaissent aux côtés des publications des amis et de la famille, créant ainsi un contexte de confiance élevé.
Les attaquants ont mené deux campagnes publicitaires parallèles, chacune pointant vers des domaines de phishing distincts. Chaque campagne a utilisé son propre identifiant Facebook Pixel et ses propres paramètres de suivi. Si un domaine ou un compte publicitaire est fermé, l’autre peut continuer à fonctionner.
Si vous pensez avoir été affecté par cette campagne, il est crucial de considérer votre système comme compromis et d’agir rapidement. Ne vous connectez à aucun compte à partir de cet ordinateur tant qu’il n’a pas été analysé et nettoyé. Effectuez une analyse complète avec Malwarebytes immédiatement. Modifiez les mots de passe de vos comptes importants (e-mail, banque, réseaux sociaux) à partir d’un appareil différent et propre. Si vous utilisez des portefeuilles de cryptomonnaies sur cet appareil, déplacez vos fonds vers un nouveau portefeuille avec une nouvelle phrase de départ générée sur un appareil propre. Envisagez également d’alerter votre banque et d’activer la surveillance des fraudes si des informations d’identification financières étaient stockées sur ou accessibles depuis cet appareil.
Pour les équipes informatiques et de sécurité, il est recommandé de bloquer les domaines de phishing au niveau du DNS et du proxy web, d’alerter sur l’exécution de PowerShell avec -ExecutionPolicy Unrestricted dans des contextes non administratifs, et de rechercher le répertoire LunarApplication et les fichiers .yiz.ps1 / .unx.ps1 aléatoires dans %TEMP%.
Hachage de fichier (SHA-256)
- c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa (ms-update32.exe)
Domaines
- ms-25h2-téléchargement[.]pro
- ms-25h2-mise à jour[.]pro
- ms25h2-télécharger[.]pro
- ms25h2-mise à jour[.]pro
- raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe (URL de livraison de la charge utile)
Artefacts du système de fichiers
- C:\Utilisateurs\
\AppData\Roaming\LunarApplication\ - C:\Utilisateurs\
\AppData\Local\Temp\[random].yiz.ps1 - C:\Utilisateurs\
\AppData\Local\Temp\[random].unx.ps1
Enregistrement
- HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults (données binaires volumineuses — persistance)
Infrastructure publicitaire Facebook
- Identifiant du pixel : 1483936789828513
- Identifiant du pixel : 955896793066177
- ID de campagne : 52530946232510
- ID de campagne : 6984509026382