Οι απειλητικοί φορείς έχουν αρχίσει να διανέμουν πλαστά προγράμματα εγκατάστασης αναβάθμισης των Windows 11 σε χρήστες των Windows 10, εξαπατώντας τους να κατεβάσουν και να εκτελέσουν το RedLine stealer malware.
Ο χρόνος των επιθέσεων συμπίπτει με τη στιγμή που η Microsoft ανακοίνωσε την ευρεία φάση ανάπτυξης των Windows 11, επομένως οι επιτιθέμενοι ήταν καλά προετοιμασμένοι για αυτήν την κίνηση και περίμεναν την κατάλληλη στιγμή για να μεγιστοποιήσουν την επιτυχία της επιχείρησης τους.
Το RedLine stealer είναι αυτή τη στιγμή ένα από τα πιο ευρέως διαδεδομένα malware, οπότε οι μολύνσεις του μπορεί να έχουν τρομερές συνέπειες για τα θύματα.
Δείτε επίσης: ESET: Ποιες ήταν οι πιο δημοφιλείς μέθοδοι επίθεσης το 2021;
Η καμπάνια
Σύμφωνα με ερευνητές της HP, που εντόπισαν αυτήν την καμπάνια, οι χάκερ χρησιμοποίησαν τον φαινομενικά νόμιμο domain “windows-upgraded.com” για το malware distribution μέρος της καμπάνιας τους.
Ο ιστότοπος εμφανίζεται σαν ένας γνήσιος ιστότοπος της Microsoft και, εάν ο επισκέπτης έκανε κλικ στο κουμπί “Download Now”, έλαβε ένα αρχείο ZIP 1,5 MB με το όνομα “Windows11InstallationAssistant.zip”, το οποίο ανακτήθηκε απευθείας από ένα Discord CDN.
Η αποσυμπίεση του αρχείου έχει ως αποτέλεσμα έναν φάκελο μεγέθους 753 MB, ο οποίος εμφανίζει μια εντυπωσιακή αναλογία συμπίεσης 99,8%, που επιτυγχάνεται χάρη στην παρουσία padding στο εκτελέσιμο αρχείο.
Όταν το θύμα εκκινεί το εκτελέσιμο αρχείο στον φάκελο, ξεκινά μια διαδικασία PowerShell με ένα κωδικοποιημένο όρισμα.
Στη συνέχεια, εκκινείται μια διαδικασία με χρονικό όριο λήξης 21 δευτερολέπτων και μετά τη λήξη της, ένα αρχείο .jpg λαμβάνεται από έναν απομακρυσμένο web server.
Αυτό το αρχείο περιέχει ένα DLL με περιεχόμενα τακτοποιημένα σε αντίστροφη μορφή, πιθανώς για να αποφευχθεί ο εντοπισμός και η ανάλυση.
Δείτε επίσης: Apple: Ένα «μικρό μέρος» των iPhone καταγράφει αλληλεπιδράσεις με τον Siri
Τέλος, η αρχική διαδικασία φορτώνει το DLL και αντικαθιστά το τρέχον thread context με αυτό. Αυτό το DLL είναι ένα RedLine stealer payload που συνδέεται με τον command-and-control server μέσω TCP για να λάβει οδηγίες σχετικά με τις κακόβουλες εργασίες που πρέπει να εκτελέσει στη συνέχεια στο νέο σύστημα που έχει παραβιαστεί.
Outlook
Αν και ο ιστότοπος διανομής είναι πλέον εκτός λειτουργίας, τίποτα δεν εμποδίζει τους χάκερ από το να δημιουργήσουν έναν νέο domain και να επανεκκινήσουν την καμπάνια τους. Στην πραγματικότητα, αυτό είναι πολύ πιθανό να συμβαίνει ήδη.
Δείτε επίσης: Mozilla Firefox: Επιδιορθώνει σφάλμα που έδινε δικαιώματα διαχειριστή
Τα Windows 11 είναι μια σημαντική αναβάθμιση που πολλοί χρήστες των Windows 10 δεν μπορούν να λάβουν από τα επίσημα κανάλια διανομής λόγω ασυμβατοτήτων hardware, κάτι που οι χειριστές κακόβουλου λογισμικού θεωρούν εξαιρετική ευκαιρία για την εύρεση νέων θυμάτων.
Πηγή πληροφοριών: bleepingcomputer.com
