Зловредните атаки определено еволюират и недоброжелателите дори започват да избират най-подходящия момент, в който да ги пуснат. Точно когато от Microsoft обявиха, че навлизат във фазата на по-масовото внедряване на Windows 11, нападателите започнаха да разпространяват фалшиви инсталатори за надстройка за инсталация на новата версия на операционната система. Разбира се, вместо това те се сдобиваха със зловредния софтуер RedLine, а точното му позициониране увеличи максимално успеха на операцията. Това в момента е най-широко разпространеният инструмент за извличане на пароли, бисквитки на браузъра, информация от кредитни карти и портфейл за криптовалута, така че инфекциите му могат да имат тежки последици за жертвите. Според изследователи от HP, които са забелязали тази кампания, хакерите са използвали привидно легитимния домейн windows-upgraded.com за разпространение на зловреден софтуер от кампанията си.
Сайтът изключително много наподобява оригиналния на Microsoft и при кликване на бутона Download Now потребителят се сдобива с 1.5 MB ZIP архив, наречен Windows11InstallationAssistant.zip. Декомпресирането на файла води до папка с размер 753 MB, демонстрираща впечатляващ коефициент на компресия от 99.8%, постигнат благодарение на наличието на допълване в изпълнимия файл. При стартиране се задейства процес на PowerShell с кодиран аргумент.
След това е ред на процеса cmd.exe с време за изчакване от 21 секунди и след изтичането му .jpg файл се извлича от отдалечен уеб сървър. Този файл разполага с DLL със съдържание, подредено в обратна форма, вероятно за избягване на откриване и анализ.
Накрая първоначалният процес зарежда DLL и заменя контекста на текущата нишка с него. Тази DLL е полезен товар за кражба на RedLine, който се свързва със сървъра за командване и контрол чрез TCP, за да получи инструкции какви злонамерени задачи трябва да изпълнява след това в новокомпрометираната система.
Въпреки че сайтът за разпространение е временно спрян, все още нищо не може да спре недоброжелателите да го създадат на ново място. Не забравяйте, че тези опасни сайтове се популяризират чрез публикации във форуми и социални медии или незабавни съобщения, така че не се доверявайте на нищо друго освен на официалните сигнали за надстройка на Windows.
Снимки: Shutterstock
Виж още: Може да подкарате Windows 11 на вашия телефон благодарение на Android 13 (ВИДЕО)