Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры распространяют вредоносы под видом установщика Windows 11

14/02/22

hack86-Feb-14-2022-10-27-21-44-AMЗлоумышленники начали распространять поддельные установщики обновлений Windows 11 среди пользователей Windows 10, обманом заставляя их загружать и запускать инфостилер RedLine.

Время атак совпадает с объявлением Microsoft о широкомасштабном этапе развертывания Windows 11 — злоумышленники были хорошо подготовлены к этому событию и ждали подходящего момента для своей операции.

В настоящее время RedLine является самым распространенным вредоносом для кражи паролей, cookie-файлов браузера, информации о кредитных картах и ​​криптовалютных кошельках. По словам исследователей из команды по анализу киберугроз HP, обнаруживших кампанию, для распространения вредоносного ПО злоумышленники использовали домен windows-upgraded.com, замаскированный под легитимный ресурс Microsoft. После нажатия на кнопку «Загрузить сейчас» пользователь получает ZIP-архив размером 1,5 МБ под названием Windows11InstallationAssistant.zip, загруженный непосредственно из CDN Discord.

В результате распаковки файла получается папка размером 753 МБ. Когда жертва запускает исполняемый файл в папке, включается PowerShell-скрипт с закодированным аргументом. Затем запускается процесс cmd.exe с паузой в 21 секунду, по истечении которой с удаленного web-сервера загружается файл .jpg. В файле находится DLL-библиотека с содержимым, расположенным в обратном порядке (возможно с целью избежать обнаружения)..

Наконец, начальный процесс загружает DLL-библиотеку и заменяет ею контекст текущего потока. DLL представляет собой полезную нагрузку RedLine, который подключается к командному серверу через TCP для получения дальнейших инструкций.

Хотя вредоносный сайт сейчас не работает, ничто не мешает злоумышленникам настроить новый домен и перезапустить кампанию.

Темы:УгрозыМошенничествоWindows 11
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...