Panne mondiale: un faux manuel de réparation Microsoft contient en réalité un virus

L'affaire Crowdstrike est loin d'être terminée. Depuis la panne mondiale causée ce 19 juillet par une mise à jour défectueuse d'un antivirus professionnel dédié aux ordinateurs sous Windows, les conséquences se font encore sentir un peu partout dans le monde.

Au total, 8,5 millions de machines ont été concernées par des "écrans bleus de la mort", causant retards et problèmes techniques pour des entreprises de tous les secteurs, dont les compagnies aériennes ou les services d'urgence. Mais quelques jours après ce bug, des hackers tentent d'utiliser l'urgence de la situation pour propager un virus.

Un virus récupérant les informations sensibles

Le site spécialisé Bleeping Computer évoque la circulation d'un faux manuel de réparation prétendant intégrer les instructions permettant de relancer les machines concernées par le problème. Un document soi-disant "officiel" et émanant de Microsoft, mais qui se révèle en fait être un logiciel malveillant.

C'est sous la forme de mails de hameçonnage que la menace existe. En pièce jointe, on peut y trouver un fichier présenté comme étant lié à Microsoft. Une fois ouvert, le document va installer le logiciel Daolpu, un virus qui a comme faculté de voler les informations de l'ordinateur sur lequel il est présent, notamment les données système et celle des navigateurs utilisés.

Historique de navigation, identifiants ou encore cookies d'authentification... Ce sont autant de données qui peuvent être récupérées pour que les pirates puissent ensuite s'infiltrer dans le cœur d'une entreprise. Les hackers tentent ainsi de profiter de la confusion des victimes de la panne, Microsoft ayant réellement diffusé un outil pour réparer les machines concernées.

Ce n'est toutefois pas le seul virus en circulation. Crowdstrike a de son côté averti ses clients qu'un fichier ZIP malveillant était aussi en circulation avec comme nom "CrowdStrike Falcon.zip" dans lequel on trouve un document appelant l'utilisateur à désactiver Windows Defender (l'antivirus par défaut de Microsoft).

Dans tous les cas, la prudence est donc de mise, alors qu'un correctif est en cours de déploiement, et que Crowdstrike assure se rapprocher des clients concernés lorsque cela nécessite des modifications manuelles. Le patron de l'entreprise de cybersécurité doit témoigner ce mercredi 24 juin devant le Congrès américain.