I cattivi attori nascondono malware nel falso sito di aggiornamento di Windows 11
HP Threat Research Blog ha avvertito che gli attori maligni stanno approfittando del recente rilascio di Windows 11 per distribuire malware. Questi cattivi attori hanno registrato il dominio, windows-upgrade[.]com, che porta gli utenti ignari a un sito web convincente che si maschera come un sito legittimo di aggiornamento di Windows 11. Questo dominio tenta di diffondere il malware RedLine Stealer, che ruba i dati dal computer della vittima e li vende sui forum underground
Quando si fa clic sul pulsante di download del falso sito di aggiornamento di Windows 11, viene scaricato un file zip chiamato Windows11InstallationAssistant, che è ospitato su Discord. Questo file zip ha una dimensione di 1,5 MB e si espande a 753 MB quando viene decompresso. Lo zip raggiunge uno sbalorditivo rapporto di compressione del 99,8%, probabilmente a causa di un padding altamente comprimibile. I cattivi attori potrebbero aver incluso questa imbottitura perché alcuni antivirus potrebbero non scansionare file molto grandi
L'esecuzione di Windows11InstallationAssistant.exe lancia una PowerShell, che scarica il RedLine Stealer. Il malware ruba le informazioni sensibili della vittima come password, informazioni bancarie, portafogli di criptovalute e informazioni sul computer dell'utente.
Quest'ultimo tentativo di approfittare delle tendenze recenti, come il rilascio di Windows 11, segue simili tentativi precedenti di diffondere il malware RedLine Stealer, come quando gli hacker hanno replicato la pagina di download di Discord nel dicembre 2021. Questi cattivi attori spesso distribuiscono malware tramite siti di download fasulli. Pertanto, gli utenti dovrebbero scaricare solo da siti web affidabili.
Fonte(i)
