Kémprogramot terjesztenek a hamis Windows 11 telepítők

​A HP biztonsági kutatói egy alattomos alvilági támadássorozatra hívták fel a figyelmet. A csalók hamis Windows 11 telepítő álcája mögé rejtik az adatlopásra alkalmas szerzeményüket.
 

A Windows 11 nem először kerül a vírusterjesztők célkeresztjébe. Már korábban is előfordult, hogy a Windows legújabb kiadásával próbáltak visszaéléseket elkövetni, adott esetben kártékony programokat terjeszteni. A legújabb akciójuk is hasonló, megtévesztésen alapuló módszerekre épül, miközben a napjainkban széles körben problémákat okozó RedLine trójai programot igyekeznek minél több számítógépre feljuttatni.
 
A HP biztonsági szakértői egy olyan alvilági kampányt lepleztek le, amely hamis weboldalakon keresztül zajlik. A csalók a hivatalos Windows 11 letöltésére szolgáló weboldalra megszólalásig hasonlító weblapot hoztak létre. Amennyiben a felhasználó ezen keresztül próbálja beszerezni az operációs rendszert, akkor először egy 1,5 megabájt méretű, Windows11InstallationAssistant.zip nevű fájl kerül a számítógépére. Ha ezt elindítja, akkor egy kicsomagolási folyamat veszi kezdetét, majd egy PowerShell script fut le. Ezt követően elindul egy cmd.exe folyamat, amely 21 másodperc elteltével letölt egy jpg kiterjesztésű fájlt egy távoli kiszolgálóról. Ez az állomány valójában egy DLL-fájl, amely kapcsolódik a vezérlőszerverekhez. E kiszolgálókról kérdezi le, hogy éppen milyen műveletet kell végrehajtania a fertőzött rendszeren.
 
A RedLine elsősorban adatlopási célokkal terjed. Alkalmas egyebek mellett jelszavak, webböngészőkben tárolt adatok, cookie-k, bank- és hitelkártya adatok, valamint kriptotárcák kiszivárogtatására is.