Кибермошенники распространяют вредоносное ПО, маскируя его под официальное обновление Windows 11
Эксперты отметили, что члены группировки RedLine основательно готовились к запуску фейковой кампании – преступники начали действовать сразу же после того, как представители Microsoft объявили о выходе Windows 11.
На данный момент хакеры из RedLine считаются самыми успешными похитителями информации в киберпространстве – они присваивают себе платёжные данные, криптокошельки, пароли, логины, cookies-файлы. Осенью 2021 группировка стала основным поставщиком ворованной информации на теневых форумах и торговых платформах в даркнете.
Известно, что мошенники используют внешне вполне официальный домен «windows-upgraded.com». Фейковая страница является практически абсолютной копией легального ресурса Microsoft, что позволяет преступникам быстро завоевать доверие пользователей.
Клиент, нажавший на кнопку «Скачать», получит не обновления, а архивированный файл «Windows11InstallationAssistant.zip» весом в полтора мегабайта. Распакованный архив занимает 750 Мб. Эксперты отметили внушительную степень сжатия – файл был уменьшен на 99,8%.
Если пользователь запустит файл, начнется процесс PowerShell, после чего на устройство попадет вредонос с удалённого сервера. Известно, что для загрузки вирусного ПО используется DLL-файл с контентом, размещённым в реверсивном порядке. Собственно, загрузившийся DLL и есть вредоносное ПО RedLine. Программа получает команды через TCP-соединения.
Эксперты порекомендовали пользователям быть максимально внимательными и доверять только официальным ресурсам Microsoft.