Хакеры распространяют вредоносы под видом установщика Windows 11

Злоумышленники начали распространять поддельные установщики обновлений Windows 11 среди пользователей Windows 10, обманом заставляя их загружать и запускать инфостилер RedLine. Об этом пишет Securitylab.ru

Время атак совпадает с объявлением Microsoft о широкомасштабном этапе развертывания Windows 11 - злоумышленники были хорошо подготовлены к этому событию и ждали подходящего момента для своей операции.

В настоящее время RedLine является самым распространенным вредоносом для кражи паролей, cookie-файлов браузера, информации о кредитных картах и ​​криптовалютных кошельках. По словам исследователей из команды по анализу киберугроз HP, обнаруживших кампанию, для распространения вредоносного ПО злоумышленники использовали домен windows-upgraded.com, замаскированный под легитимный ресурс Microsoft. После нажатия на кнопку "Загрузить сейчас" пользователь получает ZIP-архив размером 1,5 МБ под названием Windows11InstallationAssistant.zip, загруженный непосредственно из CDN Discord.

В результате распаковки файла получается папка размером 753 МБ. Когда жертва запускает исполняемый файл в папке, включается PowerShell-скрипт с закодированным аргументом. Затем запускается процесс cmd.exe с паузой в 21 секунду, по истечении которой с удаленного web-сервера загружается файл .jpg. В файле находится DLL-библиотека с содержимым, расположенным в обратном порядке (возможно, с целью избежать обнаружения).

Наконец, начальный процесс загружает DLL-библиотеку и заменяет ею контекст текущего потока. DLL представляет собой полезную нагрузку RedLine, который подключается к командному серверу через TCP для получения дальнейших инструкций.

Хотя вредоносный сайт сейчас не работает, ничто не мешает злоумышленникам настроить новый домен и перезапустить кампанию.