Maus atores escondem malware em falso site de atualização do Windows 11
Blog de Pesquisa de Ameaças HP advertiu que os atores maliciosos estão aproveitando o recente lançamento do Windows 11 para distribuir malware. Esses atores maliciosos registraram o domínio, Windows-upgrade[.]com, que leva os usuários insuspeitos a um site convincente que se mascara como um site legítimo de atualização do Windows 11. Este domínio tenta espalhar o malware do RedLine Stealer, que rouba dados do computador de uma vítima e os vende em fóruns subterrâneos
Ao clicar no botão de download no site falso de atualização do Windows 11, um arquivo zip chamado Windows11InstallationAssistant será baixado, que está hospedado no Discord. Este arquivo zip tem um tamanho de 1,5 MB e se expande para 753 MB quando descomprimido. O zip atinge uma taxa de compressão espantosa de 99,8%, possivelmente devido ao acolchoamento altamente compressível. Os maus atores podem ter incluído este acolchoamento, já que alguns antivírus podem não fazer o scan de arquivos muito grandes
Rodando o Windows11InstallationAssistant.exe lança um PowerShell, que baixa o RedLine Stealer. O malware empilha as informações sensíveis da vítima, tais como senhas, informações bancárias, carteiras de moedas criptográficas e informações do computador do usuário.
Esta última tentativa de aproveitar as recentes tendências, tais como o lançamento do Windows 11, segue tentativas anteriores semelhantes de espalhar o malware do RedLine Stealer, tais como quando hackers replicaram a página de download do Discord em dezembro de 2021. Estes atores maus freqüentemente distribuem malware através de sites de download falsos. Assim, os usuários só devem fazer o download a partir de sites confiáveis.
Fonte(s)
