Höjdpunkter
– Hotaktörer sprider skadlig programvara i namnet av en äkta Windows-uppgradering
– En webbplats som ser genuint ut används som en plattform för att distribuera skadlig programvara
– Den nedladdade filstorleken är bara 1,5 MB
– Hot som aktörer distribuerar RedLine Stealer malware
– Motivet för hotaktörerna är att stjäla personlig information om offren som t.ex. kreditkortsuppgifter, plånboksdetaljer för kryptovaluta, lösenord, webbläsarcookies, etc.
Hackare har nyligen lanserat en kampanj där de har använt en äkta webbplats som driver en användare att ladda ner skadlig programvara i namnet på Windows 11-uppgraderingen.
Hur falska Windows 11-uppgraderingsinstallatörer kan infektera din dator
En översikt
Windows 11 har nått sin breda implementeringsfas. Detta innebär att om din dator är Windows 11 redo, kommer Windows 11 21H2 att erbjudas till dig.
Flera användare väntar ivrigt på att få uppgradera sin Windows-dator från Windows 10 till Windows 11 och hackare har förmodligen snusat på detta behov. Som sådan hade de nyligen lanserat en fullfjädrad kampanj för att distribuera skadlig programvara som heter RedLine stealer.
I det här inlägget kommer vi att fördjupa oss lite djupare i vad som hände och vad som är dess status nu. Ännu viktigare, vi kommer att diskutera några sätt du kan förhindra dig själv från att bli ett offer.
1. Modus Operandi
Som forskarna vid HP:s hot-aktörer sa använde en webbplats som såg legitim ut, en falsk Microsoft-domän – windows-upgraded.com för att distribuera skadlig programvara. Den har en stor blåfärgad Hämta nu-knapp som lockar en användare att skaffa Windows 11.
Källa: threatresearch.ext.hp2. Vad hände när en användare klickade på knappen "Ladda ner nu"?
När en användare klickade på knappen Ladda ner nu, mottogs en zippad fil som vägde 1,5 MB. Den zippade filen hette Windows11InstallationAssistant.zip. Denna fil hade ett häpnadsväckande komprimeringsförhållande på nästan 99,8 %. Detta innebar att när filen dekomprimerades togs emot en mapp på 753 MB.
När en användare startade den körbara filen i mappen initierades en PowerShell-process med ett kodat argument. Det som följde därefter var en cmd.exe som hade en timeout på 21 sekunder. När denna tidsgräns gått ut hämtades en .jpg-fil från en webbserver som var placerad på distans. Denna .jpg-fil maskerade en DLL-fil vars innehåll var ordnat i omvänd ordning, vilket ytterligare gjorde upptäckten och analysen är hård.
Så slutligen installerades den skadliga programvaran RedLine Stealer på den komprometterade datorn.
3. Vad var eller snarare är RedLine Malware kapabel att stjäla?
Denna skadliga programvara är ökända för att stjäla detaljer som lösenord, användarnamn, kreditkortsnummer, kryptovalutadetaljer och annan användardata.
4. Varför ska Windows-användare vara ännu mer försiktiga? Och vad ska du göra?
Från och med nu är den här distributionswebbplatsen nere. Men det betyder inte att angriparna kommer att sluta. De inleder förmodligen en annan kampanj i det vilda.
Precis som deras behov av timmen är att ta hand om hur brådskande användarna är att hoppa från Windows 10 till Windows 11, borde våra kampanjer direkt motverka sådana kampanjer, och i kölvattnet av det, här är några punkter –
1. Stäng aldrig av ditt antivirusprogramEtt antivirusprogram kan spåra skadlig programvara i realtid. Detta innebär att det skulle spåra och ta bort skadlig programvara innan hotet sträcker sig till andra filer på ditt system. Ett antivirus som Systweak Antivirus har också en webbskyddsmodul som varnar dig så fort du besöker en misstänkt webbplats.
Förutom det erbjuder Systweak Antivirus dig också flera skanningslägen, erbjuder realtidsskydd mot hot som kan utnyttja sårbarheter på din dator och är lätt på ditt systems resurser. Här är en omfattande recension av Systweak Antivirus.
Så här kan du använda Systweak Antivirus –
2. Se upp för webbplatser som poserar Som populära domänerDu kan ha fått URL:en till den ovan nämnda skissartade och falska Microsoft Windows 11 Upgrade Installer-domänen från en text på en av de sociala medieplattformarna.
Det är här du behöver köra din Wisdom och inte falla offer för den körbara filen som kan få dig att ladda ner den skadliga programvaran RedLine Stealer. Vi uppmanar dig att inte klicka på några sådana misstänkta länkar och ladda ner uppgraderingen via uppdateringarna som Microsoft rullar ut eller via Microsofts webbplats.
Håll dina ögon och öron öppna!Som vi sa, även om det falska Windows 11-uppgraderingsinstallationsprogrammet är nere, skulle det vara ett allvarligt misstag att förvänta sig att den skadliga programvaran RedLine Stealer har försvunnit. Vi måste vara ytterst försiktiga när vi hämtar uppgraderingar. Vad tycker du om detta? Låt oss veta i kommentarsfältet nedan. För fler sådana nyheter och teknikrelaterat innehåll, fortsätt att läsa WeTheGeek.
Läs: 0
