Klienci Microsoftu i użytkownicy Windows od niepamiętnych czasów są celem ataków wszelkiej maści cyberprzestępców. Znane są przypadki podszywania się pod pomoc techniczną Microsoftu czy udostępniania fałszywych instalatorów znanego oprogramowania — od Windows Movie Maker, po Windows 11. HP wskazuje na kolejny tego typu przypadek.
Threat Research Team w HP raportuje, że mniej więcej w czasie ogłoszenia ostatniej darmowej aktualizacji do Windows 11 (jej dostępności do wdrażania na szeroką skalę na kwalifikujące się urządzenia — nie oznacza to wygaszenia darmowej oferty) osoby o złych zamiarach zarejestrowały domenę windows-upgraded[.]com, której używają do rozpowszechniania malware. Strona namawia do pobrania Windows 11. Po kliknięciu osadzonego przycisku rozpoczyna się pobieranie podejrzanego pliku archiwum Windows11InstallationAssistant.zip, hostowanego na serwerze Discorda.
Domena przyciągnęła uwagę badaczy zabezpieczeń, ponieważ została zarejestrowana stosunkowo niedawno, podszywa się pod zaufaną markę i wykorzystuje fakt niedawnego ogłoszenia. Przestępcy za jej pomocą rozprowadzają RedLine Stealer, rodzinę złośliwego oprogramowania wykradającego informacje, którego sprzedaż i reklamy na dużą skalę prowadzi się na podziemnych forach dla przestępców. Warto też zwrócić uwagę, że domena została zarejestrowana w Rosji.
Domain Name: windows-upgraded.com
Creation Date: 2022-01-27T10:06:46Z
Registrar: NICENIC INTERNATIONAL GROUP CO., LIMITED
Registrant Organization: Ozil Verfig
Registrant State/Province: Moscow
Registrant Country: RU
Windows11InstallationAssistant.zip waży tylko 1,5 MB i zawiera 6 plików Windows DLL, plik XML i przenośny plik wykonywalny. Po wypakowaniu folder waży już 753 MB, z czego 751 MB waży plik Windows11InstallationAssistant.exe. Prawdopodobnie miało to utrudnić analizę pliku przez powszechnie dostępne oprogramowanie. Threat Research Team w HP oczywiście podjął się takiej analizy. Po uruchomieniu w sandboksie plik otwiera proces PowerShell z zakodowanym argumentem. Powoduje to włączenie cmd.exe z 21-sekundowym opóźnieniem. Następnie proces pobiera plik win11.jpg, który po otwarciu w edytorze tekstu i odwróceniu zawartości prowadzi do pliku DLL. Jest on ładowany przez proces inicjalizacji, który zastępuje nim bieżący kontekst wątku. Jest to payload RedLine Stealer, klasyczny wykradacz informacji.
RedLine Stealer gromadzi różne informacje o bieżącym środowisku wykonawczym, takie jak nazwa użytkownika, nazwa komputera, zainstalowane oprogramowanie i informacje o sprzęcie. Malware wykrada też przechowywane hasła z przeglądarek, dane autowypełniania, takie jak informacje o karcie kredytowej, a także pliki i portfele kryptowalut. Proces otwiera połączenie TCP z serwerem command and control (C2), w tym przypadku jest to 45.146.166[.]38:2715.
Podobne działanie zespół HP zaobserwował już w grudniu, kiedy zarejestrowano domenę discrodappp[.]com podszywającą się pod znany komunikator. Również wtedy korzystano z RedLine Stealer. Jeśli natomiast chodzi o oszustwa związane z pobieraniem Windows 11, to znaliśmy wcześniej przynajmniej dwa: "Windows 11 Alpha" oraz paczki z rzekomym instalatorem i aktywatorem Windows 11.
Pobieranie nielegalnych wersji Windows 11 z szemranych stron jest zupełnie bez sensu. Microsoft udostępnia bowiem system zupełnie za darmo w formie aktualizacji do pobrania poprzez Windows Update, jako obraz ISO i nie tylko. Z naszych wcześniejszych artykułów dowiesz się, jak legalnie pobrać i zainstalować Windows 11 oraz skąd pobrać obraz ISO.
Jeśli natomiast potrzebujecie nowej licencji Windows 11, warto skorzystać z zaufanego i legalnego sklepu, takiego jak Sklep CentrumXP.
Źródło: https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/
