Malware-ul RedLine distribuit prin programe false de actualizare Windows 11
https://www.bleepingcomputer.com
Atacatorii au început să distribuie programe false de actualizare la Windows 11 utilizatorilor de Windows 10, păcălindu-i să descarce și să execute malware-ul RedLine stealer. Atacurile au apărut în momentul în care Microsoft a anunțat implementarea sistemului de operare Windows 11.
RedLine stealer este, în prezent, cel mai răspândit malware pe care atacatorii îl folosesc pentru obținerea parolelor, cookie-urilor din browser, cardurilor de credit și a informațiilor din portofelele de criptomonede. Cercetătorii de la HP care au descoperit această campanie, au declarat că atacatorii au folosit domeniul aparent legitim „windows-upgraded.com”, pentru răspândirea a malware-ului.
Site-ul seamănă cu site-ul oficial de la Microsoft, iar dacă un utilizator face click pe butonul „Descarcă acum”, primește o arhivă ZIP de 1,5 MB numită „Windows11InstallationAssistant.zip”, preluată direct de pe un CDN Discord.
După decomprimare rezultă un folder cu o dimensiune de 753 MB cu un raport de compresie foarte mare de 99,8% obținut datorită padding-ului din executabil.
Atunci când un utilizator lansează executabilul din folder, se inițiază un proces PowerShell cu un argument codificat. În continuare, este inițiat un proces cmd.exe cu un timeout de 21 de secunde, iar după expirarea acestuia un fișier .jpg este preluat de pe un server web.
Acest fișier conține un DLL având conținutul inversat, pentru a evita detectarea și analiza. Procesul inițial încarcă DLL-ul și înlocuiește contextul curent de execuție cu acesta.
DLL-ul este un payload RedLine stealer care se conectează la serverul de comandă și control prin protocolul TCP pentru a primi instrucțiuni pe care urmează să le execute în continuare și pe alte sisteme.
Chiar dacă site-ul de distribuție nu mai este disponibil, atacatorii pot crea un nou domeniu pentru continuarea atacurilor lor.
Windows 11 este un upgrade major, pe care mulți utilizatori de Windows 10 nu îl pot obține din sursele oficiale de distribuție din cauza incompatibilităților hardware, lucru pe care atacatorii îl văd ca pe o oportunitate excelentă pentru a găsi noi victime.
BleepingComputer a raportat în ianuarie că atacatorii profită de asemenea, de clienții cu actualizări legitime ale Windows pentru a executa coduri malițioase pe sistemele Windows compromise, astfel încât tacticile raportate de HP nu sunt deloc surprinzătoare. Aceste tipuri de site-uri sunt promovate prin intermediul forumurilor și al postărilor pe rețelele de socializare sau al mesajelor instantanee.
