Tehdit aktörleri, sahte Windows 11 yükseltme yükleyicilerini Windows 10 kullanıcılarına dağıtmaya başladı, onları yeniden yapılandırmaya ve yürüttüğü Redline Stealer kötü amaçlı yazılımları kullanmaya başladı.
Saldırıların zamanlaması, Microsoft'un Windows 11'in geniş dağıtım aşamasını açıkladığı anıyla çakışıyor, bu yüzden saldırganlar bu hamle için iyi hazırlandı ve operasyonlarının başarısını en üst düzeye çıkarmak için doğru anı bekledi.
Redline Stealer şu anda en yaygın konuşlandırılmış şifre, tarayıcı çerezleri, kredi kartı ve Cryptocurrency Cüzdan Bilgisi Grabber'idir, bu nedenle enfeksiyonları mağdurlar için korkunç sonuçları olabilir.
Bu kampanyayı gören HP'deki araştırmacılara göre, oyuncular kampanyalarının kötü amaçlı yazılım dağıtım kısmı için görünüşte meşru "Windows-upgraded.com" alanını kullandılar.
Site, orijinal bir Microsoft sitesi gibi görünür ve ziyaretçi 'şimdi indirin' düğmesine tıkladığında, doğrudan bir anlaşmazlık CDN'den "Windows11InstalLionAssistant.zip" adlı 1.5 MB'lik bir zip arşivi aldılar.
Dosyanın dekompresyonunu çözmek, 753 MB boyutunda bir klasörle sonuçlanır,% 99,8'lik etkileyici bir sıkıştırma oranını sergilemek, çalıştırılabilir dolgunun varlığı sayesinde elde edilir.
Mağdur, klasördeki çalıştırılabilirleri başlattığında, kodlanmış bir argümana sahip bir PowerShell işlemi başlar.
Daha sonra, bir CMD.exe işlemi 21 saniyelik bir zaman aşımı ile başlatılır ve bu süreleri sona erdikten sonra, bir .jpg dosyası uzak bir web sunucusundan alınır.
Bu dosya, muhtemelen tespit ve analizden kaçınmak için ters formda düzenlenen içerikli bir DLL içerir.
Son olarak, ilk işlem DLL'yi yükler ve mevcut iplik bağlamını onunla değiştirir. Bu DLL, yeni tehlikeye giren sistemde yanında hangi kötü amaçlı görevlerin çalışması gerektiği konusunda talimatlar almak için TCP üzerinden komut-kontrol sunucusuna bağlanan Redline Stealer yükü yüküdür.
Dağıtım sitesi şimdi olsa da, hiçbir şey aktörlerin yeni bir etki alanı kurmasını ve kampanyalarını yeniden başlatmasını engellemez. Aslında, bu zaten vahşi doğada zaten oluyor.
Windows 11, birçok Windows 10 kullanıcısının, donanım uyumsuzlukları nedeniyle, kötü amaçlı yazılım operatörlerinin yeni kurbanlar bulmak için mükemmel bir fırsat olarak gördüğü bir şey, birçok Windows 10 kullanıcısının resmi dağıtım kanallarından alamayacağı önemli bir yükseltmedir.
BleepingComputer Ocak ayında bildirildiği gibi, tehdit aktörleri ayrıca, Windows'un öngörülen Windows sistemlerinde kötü amaçlı kod yürütülmesi için Windows'un meşru güncelleme istemcilerini kullanır, bu nedenle HP tarafından bildirilen taktikler bu noktada neredeyse şaşırtıcıdır.
Unutmayın, bu tehlikeli siteler forum ve sosyal medya mesajları veya anlık mesajlar aracılığıyla tanıtılır, bu yüzden resmi Windows yükseltme sistemi uyarıları dışında hiçbir şeye güvenmeyin.
Microsoft, Windows 11 HDR renk oluşturma sorunlarını giderir
Microsoft, Windows 10 kullanıcıları için Outlook arama sorunlarını giderir
Microsoft, Windows Server, VPN hataları için acil düzeltmeleri yayınlar
Windows 'Remotepotato0' sıfır günü resmi olmayan bir yama alır
Yeni Sysjoker Backdoor Hedefleri Windows, MacOS ve Linux
Kaynak: Bleeping Computer