Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld biografi den 10. februar 2022 | Emne: Sikkerhed
Windows 10-brugere skal være forsigtige med falske Windows 11-installationsprogrammer, der bliver brugt til at sprede den informationstjælende RedLine-malware.
RedLine er ikke særlig sofistikeret malware, men kan stjæle adgangskoder og sælges som en onlinetjeneste for $150 om måneden til folk, der ønsker at stjæle kryptovaluta som Bitcoin eller Ethereum.
Svindlere bruger adskillige tricks for at få de uforsigtige til at downloade det, og nu har HP nu fundet dem ved at bruge falske løfter om Windows 11-opgraderinger som et lokkemiddel til at narre pc-brugere til at installere malwaren.
Microsoft har sat en høj bar for hardware, der er berettiget til opgraderingen til Windows 11 og hælder til nyere processorer. Få enheder var oprindeligt berettigede, men Microsoft annoncerede for nylig, at det accelererede udrulningen for at imødekomme uventet efterspørgsel.
I dette tilfælde forsøgte hackerne at bruge Microsofts meddelelse den 26. januar om, at den “indtog sin sidste fase af tilgængelighed og er udpeget til bred udrulning for kvalificerede enheder” som en vinkel, da de registrerede deres egen falske domæne dagen efter.
HP-sikkerhedsforskere fandt ud af, at RedLine-aktører registrerede et falsk domæne i håbet om at narre Windows 10-brugere til at downloade og køre et falsk Windows 11-installationsprogram. Angriberne kopierede designet af det legitime Windows 11-websted, bortset fra at klikke på knappen “Download nu” downloader et mistænkeligt zip-arkiv.
“Domænet fangede vores opmærksomhed, fordi det var nyligt registreret, efterlignede et legitimt mærke. og benyttede sig af en nylig meddelelse. Trusselsaktøren brugte dette domæne til at distribuere RedLine Stealer, en informationsstjælende malware-familie, som i vid udstrækning annonceres til salg i underjordiske fora,” sagde Patrick Schläpfer, malware-analytiker for HP's Wolf-sikkerhedsteam.
Domænenavnet for den falske Windows 11-opgraderingsside blev registreret hos en russisk registrator; Microsofts faktiske Windows 11-opgraderingsside er hostet på et Microsoft.com-domæne. Malwaren har til formål at stjæle gemte adgangskoder fra webbrowsere, autofuldførelsesdata såsom kreditkortoplysninger samt kryptovalutafiler og tegnebøger.
Microsoft har strømlinet sine Windows-funktionsopgraderinger, herunder gjort det mere som en Patch Tuesday for 'N-minus-1'-opgraderinger, men de kriminelle i dette tilfælde klarede sig langt bedre end virkelighedens produkt med et minuts komprimeret ondsindet installationsprogram på kun 1,5 MB data, selvom mappestørrelsen efter dekomprimering var 753 MB, en bedrift, der imponerede HP's malware-analytiker.
“Da den komprimerede størrelse af zip-filen kun var 1,5 MB, betyder det, at den har et imponerende komprimeringsforhold på 99,8%. Dette er langt større end det gennemsnitlige zip-komprimeringsforhold for eksekverbare filer på 47%. For at opnå et så højt komprimeringsforhold, den eksekverbare indeholder sandsynligvis polstring, der er ekstremt komprimerbar,” skriver Schläpfer.
Han bemærkede også brugen af et uønsket “fyldområde” på 0x30 byte i filen, der ikke tjente noget andet åbenbart formål end at undgå opdagelse fra antivirus.
“En grund til, at angriberne måske har indsat et sådant fyldområde, hvilket gør filen meget stor, er, at filer af denne størrelse muligvis ikke bliver scannet af et anti-virus og andre scanningskontroller, hvilket øger chancer for, at filen kan køre uhindret og installere malwaren,” bemærker han.
Windows 11-knuden er typisk for RedLines operatører, som har lavet en billig og grim malware-tjeneste, som ikke-teknikere kan bruge. I december kørte det af brandingen af den enormt populære besked-app Discord.
HP bemærker: “Da sådanne kampagner ofte er afhængige af, at brugere downloader software fra nettet som den første infektionsvektor, kan organisationer forhindre sådanne infektioner ved kun at downloade software fra troværdige kilder.”
Windows 11 | Sikkerheds-tv | Datastyring | CXO | Datacentre