Yazılımın katı donanım gereksinimleri sayesinde Windows 11’i yüklemek, mevcut bilgisayarların çoğu için o kadar kolay değil. Bu, birçok Windows 10 kullanıcısını bu tür engelleri aşan geçici çözümler aramaya yönlendirdi.
Ancak dikkatli olun, çünkü sözde bir Windows 11 yükleyicisi gerçekten Kırmızı Hat hırsızı, web tarayıcınıza bulaşacak ve şifrelerinizi, kredi kartı numaralarınızı, oturum açma belirteçlerinizi ve hatta kripto para birimi belirteçlerinizi kaydıracak, bilgi çalan iyi bilinen bir kötü amaçlı yazılım parçası. (RedLine, tarayıcınızın şifrelerinizi kaydetmesine izin vermemenizin birkaç nedeninden biridir.)
Kötü amaçlı yazılım, Windows’a yükseltilen bir web sitesinden dağıtılıyordu[.]com, HP kötü amaçlı yazılım analisti Patrick Schläpfer, bir resmi HP blog yazısı dün (8 Şubat). HP, sahte web sitesini 27 Ocak’ta, Microsoft’un Windows 11’in tüm uygun cihazlar için ücretsiz olarak indirilebileceğini duyurmasından bir gün sonra fark etti.
Schläpfer, “Bu kampanya, saldırganların etkili yemler oluşturmak için önemli, alakalı ve ilginç güncel olaylardan nasıl hızlı bir şekilde yararlandığını bir kez daha vurguluyor” dedi. “Öne çıkan duyurular ve olaylar, kötü amaçlı yazılımları yaymak için kullanılabilecek tehdit aktörleri için her zaman ilgi çekici konulardır.”
Sahte Windows 11 yükleyici nasıl çalışır?
Site, işletim sistemi üreticisinin logosuna, site düzenine ve minimalist tasarım estetiğine kadar resmi bir Microsoft sitesi gibi görünüyordu. “Windows 11’i Alın” belirgin bir şekilde görüntülendi ve bunun altında “ŞİMDİ İNDİR” yazan bir düğme vardı.
Schläpfer, bu düğmeye tıklarsanız, bir Discord depolama sunucusuna ulaşacağınızı ve Windows11InstallationAssistant.zip adlı 1,5 MB sıkıştırılmış bir dosya indireceğinizi söyledi. Schläpfer, paketinden çıkarıldığında dosyanın 753 MB gibi olağanüstü bir %99,8 sıkıştırma oranına kadar genişlediğini belirtti.
751MB’lık ana dosyanın birçoğunun, Windows11InstallationAssistant.exe’nin sadece tekrarlanan sıfırlardan oluşan bir dolgu olduğu, dolayısıyla aşırı sıkıştırma oranı olduğu ortaya çıktı. Neden bu kadar çok dolguya ihtiyacı olsun ki?
Schläpfer, “Saldırganların böyle bir dolgu alanı ekleyerek dosyayı çok büyük hale getirmesinin bir nedeni,” diye yazdı, “bu boyuttaki dosyaların bir virüsten koruma ve diğer tarama kontrolleri tarafından taranamaması, bu nedenle dosyanın olma şansını artırıyor olabilir. engellenmeden çalıştırın ve kötü amaçlı yazılımı yükleyin.”
Windows11InstallationAssistant.exe’yi çalıştırırsanız, tam olarak 21 saniye süren bir komut satırı işlemi alırsınız ve ardından win11.jpg adlı bir JPEG dosyasına benzeyen dosyayı indirir. Kulağa zararsız geliyor, değil mi? Tam olarak değil – JPEG kodunu geriye doğru okursanız, RedLine bilgi hırsızını içeren bir dinamik bağlantı kitaplığı (DLL) dosyası alırsınız; bu, PC’nizde sözde “Kurulum Asistanını” çalıştırdığınızda kucağınıza inen bir yük.
Schläpfer, RedLine’ın “kullanıcı adı, bilgisayar adı, kurulu yazılım ve donanım bilgileri gibi mevcut yürütme ortamı hakkında çeşitli bilgileri topladığını” açıkladı. “Kötü amaçlı yazılım ayrıca web tarayıcılarından saklanan şifreleri, kredi kartı bilgileri gibi otomatik tamamlama verilerinin yanı sıra kripto para birimi dosyaları ve cüzdanlarını da çalar.”
Windows yükseltilmiş olsa bile[.]com sitesi artık çalışmıyorsa, dolandırıcıların farklı bir alanda tekrar denemeleri, hatta farklı bir yem kullanmaları kolay olacaktır. Aslında Schläpfer, Aralık ayında RedLine’ı dağıtmak için sahte bir Discord yükleyici sitesi kullanan çok benzer bir kampanyanın arkasında aynı kötülerin olduğunu belirtti.
Kendinizi bu kötü amaçlı yazılım saldırısından nasıl korursunuz?
Kendinizi RedLine ve diğer kötü amaçlı yazılım türlerinden korumak için, yazılımı indirdiğiniz her sitenin URL’sini (web adresi) kontrol edin ve her yükleyici dosyasını açmadan önce bir virüsten koruma tarayıcısı aracılığıyla çalıştırın. (En iyi Windows antivirüs programlarının çoğu, RedLine’ı olduğu gibi tanır.)
Ve sağduyuyu kullanın – etki alanı adında “microsoft.com” bulunmayan, ancak yine de Windows yüklemeleri sunan rastgele bir web sitesinin yasal olması muhtemel değildir.
