Høydepunkter
– Trusselaktører sprer skadelig programvare i navnet til en ekte Windows-oppgradering
– Et nettsted som ser ekte ut brukes som en plattform for å distribuere skadelig programvare
– Den nedlastede filstørrelsen er bare 1,5 MB
– Trusler som aktører distribuerer RedLine Stealer malware
– Motivet til trusselaktørene er å stjele personlig informasjon om ofrene som f.eks. kredittkortdetaljer, kryptovaluta lommebokdetaljer, passord, nettleserinformasjonskapsler osv.
Hackere har nylig lansert en kampanje der de har brukt et genuint nettsted som får en bruker til å laste ned skadelig programvare i navnet til Windows 11-oppgraderingen.
Hvordan falske Windows 11-oppgraderingsinstallatører kan infisere PC-en din
En oversikt
Windows 11 har nådd sin brede distribusjonsfase. Dette betyr at hvis PC-en din er Windows 11-klar, vil Windows 11 21H2 bli tilbudt deg.
Flere brukere venter spent på å oppgradere sin Windows-PC fra Windows 10 til Windows 11, og hackere har sannsynligvis snust dette behovet. Som sådan hadde de nylig lansert en fullverdig kampanje for å distribuere skadelig programvare kalt RedLine stealer.
I dette innlegget skal vi dykke litt dypere inn i hva som skjedde og hva som er statusen nå. Enda viktigere, vi vil diskutere noen måter du kan forhindre deg selv i å bli et offer.
1. Modus Operandi
I henhold til forskerne ved HPs trusselaktører brukte et nettsted med legitimt utseende, et falskt Microsoft-domene – windows-upgraded.com for å distribuere skadelig programvare. Den har en stor blåfarget Last ned nå-knapp som lokker en bruker til å få Windows 11.
Kilde: threatresearch.ext.hp2. Hva skjedde når en bruker klikket på "Last ned nå"-knappen?
Når en bruker klikket på Last ned nå-knappen, ble det mottatt en zippet fil som veide 1,5 MB. Den zippede filen ble kalt Windows11InstallationAssistant.zip. Denne filen hadde et forbløffende komprimeringsforhold på nesten 99,8 %. Dette betydde at når filen ble dekomprimert, ble en mappe på 753 MB mottatt.
Når en bruker startet den kjørbare filen i mappen, ble en PowerShell-prosess med et kodet argument startet. Det som fulgte etterpå, var en cmd.exe som hadde en timeout på 21 sekunder. Når denne tidsavbruddet utløp, ble en JPG-fil hentet fra en nettserver som var eksternt plassert. Denne .jpg-filen forkledde en DLL-fil hvis innhold ble arrangert i omvendt rekkefølge som gjorde deteksjonen og analysen ytterligere er vanskelig.
Til slutt ble RedLine Stealer malware installert på den kompromitterte PC-en.
3. Hva var eller rettere sagt er RedLine Malware i stand til å stjele?
Denne skadevare er beryktet for å stjele detaljer som passord, brukernavn, kredittkortnumre, kryptovalutadetaljer og andre brukerdata.
4. Hvorfor bør Windows-brukere være enda mer forsiktige? Og hva bør du gjøre?
På nå er dette distribusjonsnettstedet nede. Men det betyr ikke at angriperne kommer til å stoppe. De setter sannsynligvis i gang en ny kampanje ute i naturen.
Akkurat som deres behov for timen er å nære brukernes presserende behov for å hoppe fra Windows 10 til Windows 11, bør våres direkte hindre slike kampanjer, og i kjølvannet av det, her er noen punkter –
1. Slå aldri av antivirusprogrammet dittEt antivirusprogram er i stand til å spore skadelig programvare i sanntid. Dette betyr at det vil spore og fjerne skadelig programvare før trusselen utvider seg til andre filer på systemet ditt. Et antivirus som Systweak Antivirus har også en nettbeskyttelsesmodul som advarer deg så snart du besøker et mistenkelig nettsted.
Bortsett fra det tilbyr Systweak Antivirus deg også flere skannemoduser, tilbyr sanntidsbeskyttelse mot trusler som kan utnytte sårbarheter på datamaskinen din, og er lett på systemets ressurser. Her er en omfattende gjennomgang av Systweak Antivirus.
Slik kan du bruke Systweak Antivirus –
2. Pass deg for nettsteder som poserer Som populære domenerDu kan ha mottatt URL-en til det nevnte skissemessige og falske Microsoft Windows 11 Upgrade Installer-domenet fra en tekst på en av de sosiale medieplattformene.
Det er her du må utføre din visdom og ikke bli offer for den kjørbare filen som kan fange deg til å laste ned RedLine Stealer malware. Vi oppfordrer deg til å ikke klikke på slike mistenkelige lenker og laste ned oppgraderingen via oppdateringene som Microsoft ruller ut eller via Microsofts nettsted.
Hold øynene og ørene åpne!Som vi sa, selv om det falske Windows 11-oppgraderingsinstallasjonsprogrammet er nede, vil det være en alvorlig feil å forvente at RedLine Stealer-malwaren er borte. Vi må utvise største forsiktighet når vi henter oppgraderinger. Hva er din mening om dette? Gi oss beskjed i kommentarfeltet nedenfor. For flere slike nyheter og teknologirelatert innhold, fortsett å lese WeTheGeek.
Les: 0
