🗓️ Contexte

Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones.

🎣 Vecteur d’infection

La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft.

⚙️ Chaîne d’exécution

La chaîne d’infection se déroule en plusieurs étapes :

  • AppLauncher.vbs : script VBS lancé via cscript.exe (living-off-the-land), démarre l’application Electron
  • WindowsUpdate.exe : copie renommée du shell Electron légitime, contient la logique malveillante dans des fichiers JavaScript obfusqués (app.asar)
  • _winhost.exe : interpréteur Python 3.10 renommé, déployé dans C:\Users\<USER>\AppData\Local\Temp\WinGet\tools
  • Packages Python installés : pycryptodome, psutil, pywin32, PythonForWindows
  • Deux fichiers JS obfusqués (contrôle de flux aplati, prédicats opaques) : un payload stealer principal (~7 Mo) et un module ciblant Discord (~1 Mo)

🔒 Persistance

Deux mécanismes de persistance indépendants :

  1. Clé de registre HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run → valeur SecurityHealth pointant vers WindowsUpdate.exe (usurpe Windows Security Health)
  2. Raccourci Spotify.lnk déposé dans le dossier Startup (camouflage en application légitime)

📡 Comportement réseau et exfiltration

  • Reconnaissance IP via www.myexternalip.com et ip-api.com
  • C2 principal : datawebsync-lvmv.onrender[.]com (hébergé sur Render)
  • Relais C2 : sync-service.system-telemetry.workers[.]dev (Cloudflare Workers, subdomain trompeur)
  • Exfiltration via store8.gofile[.]io (service de partage de fichiers anonyme)
  • Plus de 200 invocations de taskkill.exe pour tuer processus de sécurité, navigateurs et malwares concurrents

🎯 Ciblage de la France

Le ciblage francophone est motivé par les fuites massives de données françaises récentes : Free (19 millions de contrats, octobre 2024), SFR (données clients), France Travail (43 millions de personnes), et une base Elasticsearch agrégeant 90 millions d’enregistrements issus de 17 brèches. KELA identifie la France parmi les pays les plus touchés par les infostealers en 2025.

🛡️ Évasion

Zéro détection sur VirusTotal (69 moteurs pour l’exécutable principal, 62 pour le VBS). Aucune règle YARA ne correspond. La logique malveillante est dissimulée dans du JavaScript obfusqué et un runtime Python déployé à l’exécution.

📋 Type d’article

Analyse technique publiée par Malwarebytes, visant à documenter la chaîne d’infection complète, les IOCs et les mécanismes d’évasion d’une campagne infostealer active ciblant les utilisateurs francophones.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
  • T1218 — System Binary Proxy Execution (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1614 — System Location Discovery (Discovery)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)

IOC

  • Domaines : microsoft-update.supportVT · URLhaus · ThreatFox
  • Domaines : datawebsync-lvmv.onrender.comVT · URLhaus · ThreatFox
  • Domaines : sync-service.system-telemetry.workers.devVT · URLhaus · ThreatFox
  • Domaines : store8.gofile.ioVT · URLhaus · ThreatFox
  • Domaines : www.myexternalip.comVT · URLhaus · ThreatFox
  • Domaines : ip-api.comVT · URLhaus · ThreatFox
  • SHA256 : 13c97012b0df84e6491c1d8c4c5dc85f35ab110d067c05ea503a75488d63be60VT · MalwareBazaar
  • SHA256 : c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650VT · MalwareBazaar
  • Fichiers : WindowsUpdate 1.0.0.msi
  • Fichiers : WindowsUpdate.exe
  • Fichiers : AppLauncher.vbs
  • Fichiers : _winhost.exe
  • Fichiers : Spotify.lnk
  • Chemins : C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\WindowsUpdate.exe
  • Chemins : C:\Users\<USER>\AppData\Local\Programs\WindowsUpdate\AppLauncher.vbs
  • Chemins : C:\Users\<USER>\AppData\Local\Temp\WinGet\tools
  • Chemins : C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Spotify.lnk

Malware / Outils

  • WindowsUpdate infostealer (stealer)
  • Electron (other)
  • WiX Toolset (other)
  • pycryptodome (tool)
  • psutil (tool)
  • pywin32 (tool)
  • PythonForWindows (tool)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ securityboulevard.com — source non référencée (0pts)
  • ✅ 15612 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 17 IOCs dont des hashes (15pts)
  • ✅ 2/5 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 18 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • microsoft-update.support (domain) → VT (7/94 détections)
  • datawebsync-lvmv.onrender.com (domain) → VT (15/94 détections) + ThreatFox (Unknown Stealer)

🔗 Source originale : https://securityboulevard.com/2026/04/this-fake-windows-support-website-delivers-password-stealing-malware/