14/02/22
Злоумышленники начали распространять поддельные установщики обновлений Windows 11 среди пользователей Windows 10, обманом заставляя их загружать и запускать инфостилер RedLine.
Время атак совпадает с объявлением Microsoft о широкомасштабном этапе развертывания Windows 11 — злоумышленники были хорошо подготовлены к этому событию и ждали подходящего момента для своей операции.
В настоящее время RedLine является самым распространенным вредоносом для кражи паролей, cookie-файлов браузера, информации о кредитных картах и криптовалютных кошельках. По словам исследователей из команды по анализу киберугроз HP, обнаруживших кампанию, для распространения вредоносного ПО злоумышленники использовали домен windows-upgraded.com, замаскированный под легитимный ресурс Microsoft. После нажатия на кнопку «Загрузить сейчас» пользователь получает ZIP-архив размером 1,5 МБ под названием Windows11InstallationAssistant.zip, загруженный непосредственно из CDN Discord.
В результате распаковки файла получается папка размером 753 МБ. Когда жертва запускает исполняемый файл в папке, включается PowerShell-скрипт с закодированным аргументом. Затем запускается процесс cmd.exe с паузой в 21 секунду, по истечении которой с удаленного web-сервера загружается файл .jpg. В файле находится DLL-библиотека с содержимым, расположенным в обратном порядке (возможно с целью избежать обнаружения)..
Наконец, начальный процесс загружает DLL-библиотеку и заменяет ею контекст текущего потока. DLL представляет собой полезную нагрузку RedLine, который подключается к командному серверу через TCP для получения дальнейших инструкций.
Хотя вредоносный сайт сейчас не работает, ничто не мешает злоумышленникам настроить новый домен и перезапустить кампанию.
