Windows 10 kullanıcıları, RedLine kötü amaçlı yazılımını yaymak için kullanılan sahte Windows 11 yükleyicilerine karşı dikkatli olmalıdır. Kurbanlardan bilgi çalan kötü amaçlı yazılım.
RedLine özellikle karmaşık bir kötü amaçlı yazılım değildir, ancak şifreleri çalabilir ve Bitcoin veya Ethereum gibi kripto para birimlerini çalmak isteyen kişilere ayda 150 dolara çevrimiçi bir hizmet olarak satılır.
Dolandırıcılar, dikkatsizleri indirmeleri için kandırmak için pek çok numara kullanır ve HP, bilgisayar kullanıcılarını kötü amaçlı yazılımı yüklemeleri için kandırmak için sahte Windows 11 yükseltme reklamlarını yem olarak kullandıklarını keşfetti.
Sahte alan
Microsoft, uygun donanımların Windows 11’e yükseltilmesi için çıtayı yüksek tuttu. Başlangıçta çok az cihaz uygundu, ancak Microsoft kısa süre önce beklenmedik talebi karşılamak için sunumu hızlandırdığını duyurdu.
Ve bu bağlamda bilgisayar korsanlarının kullanmaya çalıştığı Microsoft’un 26 Ocak’ta yaptığı duyuruWindows 11’in son kullanılabilirlik aşamasına girdiğini ve uygun cihazlara geniş çapta dağıtılmak üzere olduğunu söyledi.
HP güvenlik araştırmacıları, RedLine’ın Windows 10 kullanıcılarını sahte bir Windows 11 yükleyici indirip çalıştırmaları için kandırma umuduyla sahte bir etki alanı kaydettiğini keşfetti.Saldırganlar yasal Windows 11 web sitesinin tasarımını kopyaladılar, ancak “Şimdi İndir” düğmesinin bir şüpheli zip arşivi.
“Alan adı dikkatimizi çekti çünkü yeni kayıtlıydı, meşru bir markayı taklit etti ve yakın tarihli bir reklamdan yararlandı. Bilgisayar korsanı bu alanı, yeraltı forumlarında yaygın olarak satışı yapılan, bilgi çalan bir kötü amaçlı yazılım olan RedLine Stealer’ı dağıtmak için kullandı” dedi. Patrick Schläpfer, HP’nin Wolf Güvenlik Ekibinin Kötü Amaçlı Yazılım Analisti.
“%99,8’lik etkileyici sıkıştırma oranı”
Sahte Windows 11 yükseltme sayfasının alan adı bir Rus kayıt kuruluşuna kayıtlı; en gerçek windows 11 yükseltme sayfası Microsoft.com etki alanında barındırılmaktadır. Kötü amaçlı yazılım, web tarayıcılarında depolanan şifreleri, kredi kartı bilgileri gibi otomatik doldurma verilerini ve kripto para cüzdanlarını çalar.
Microsoft, Windows özellik güncellemelerini “N-eksi-1” güncellemeleri için Salı Yaması’na yaklaştırmak da dahil olmak üzere kolaylaştırıyor, ancak bu durumda suçlular, yalnızca 1,5 MB içeren kötü amaçlı bir yükleyici sıkıştırılmış dosyayla ürünün gerçekliğini çok aştı. klasör boyutu 753 MB olmasına rağmen, HP’nin kötü amaçlı yazılım analistini etkileyen bir başarı.
“Zip dosyasının sıkıştırılmış boyutu yalnızca 1,5 MB olduğundan, bu da %99,8 gibi etkileyici bir sıkıştırma oranına sahip olduğu anlamına geliyor. Bu, ortalamanın çok üzerinde bir değer. yürütülebilir dosyalar için zip sıkıştırma oranı %47 oranında. Bu kadar yüksek bir sıkıştırma oranı elde etmek için yürütülebilir dosya muhtemelen son derece sıkıştırılabilir içerik içeriyor” diye yazıyor Schläpfer.
Discord’dan sonra Windows 11
Ayrıca, dosyada antivirüs algılamasından kaçınmaktan başka bir amaca hizmet etmeyen 0x30 baytlık bir “dolgu alanı” kullanıldığını da kaydetti. “Saldırganların böyle bir dolgu alanı ekleyerek dosyayı çok büyük hale getirmesinin nedenlerinden biri, bu boyuttaki dosyaların antivirüs tarafından taranamaması ve böylece dosyanın güvenliğinin ihlal edilme olasılığının artmasıdır. kötü amaçlı yazılımı yükleyin’ diye belirtiyor.
Windows 11’deki bu numara, teknisyen olmayanlara yönelik ucuz bir kötü amaçlı yazılım hizmeti oluşturan RedLine operatörlerinin tipik bir örneğidir. Aralık ayında, son derece popüler mesajlaşma uygulaması Discord’un markalaşmasından yararlandılar.
HP, “Bu kampanyalar genellikle ilk bulaşma vektörü olarak web’den yazılım indiren kullanıcılara dayandığından, kuruluşlar bu tür enfeksiyonları yalnızca güvenilir kaynaklardan yazılım indirerek önleyebilirler.
Kaynak: “ZDNet.com”