Хакеры распространяют вредоносы под видом установщика Windows 11

11.02.2022
Хакеры распространяют вредоносы под видом установщика Windows 11

Злоумышленники начали распространять поддельные установщики обновлений Windows 11 среди пользователей Windows 10, обманом заставляя их загружать и запускать инфостилер RedLine, пишет SecurityLab.

Время атак совпадает с объявлением Microsoft о широкомасштабном этапе развертывания Windows 11 — злоумышленники были хорошо подготовлены к этому событию и ждали подходящего момента для своей операции.

В настоящее время RedLine является самым распространенным вредоносом для кражи паролей, cookie-файлов браузера, информации о кредитных картах и ​​криптовалютных кошельках. По словам исследователей из команды по анализу киберугроз HP, обнаруживших кампанию, для распространения вредоносного ПО злоумышленники использовали домен windows-upgraded.com, замаскированный под легитимный ресурс Microsoft. После нажатия на кнопку «Загрузить сейчас» пользователь получает ZIP-архив размером 1,5 МБ под названием Windows11InstallationAssistant.zip, загруженный непосредственно из CDN Discord.

В результате распаковки файла получается папка размером 753 МБ. Когда жертва запускает исполняемый файл в папке, включается PowerShell-скрипт с закодированным аргументом. Затем запускается процесс cmd.exe с паузой в 21 секунду, по истечении которой с удаленного web-сервера загружается файл .jpg. В файле находится DLL-библиотека с содержимым, расположенным в обратном порядке (возможно с целью избежать обнаружения)..

Наконец, начальный процесс загружает DLL-библиотеку и заменяет ею контекст текущего потока. DLL представляет собой полезную нагрузку RedLine, который подключается к командному серверу через TCP для получения дальнейших инструкций.

Хотя вредоносный сайт сейчас не работает, ничто не мешает злоумышленникам настроить новый домен и перезапустить кампанию.


Популярные материалы