Ein gefälschtes Installationsprogramm für Windows 11 wurde online entdeckt und Experten warnen, dass jeder ahnungslose Verbraucher, der es herunterlädt, mit RedLine Stealer endet, einer leistungsstarken Malware, die Passwörter, kryptografische Wallet-Informationen (Währung, Kreditkartendaten, Browserinformationen und vieles mehr) stehlen kann ). viel Suite.
Cybersicherheitsexperten bei HP sagen, dass derjenige, der hinter diesem Angriff steckt, sich viele Gedanken darüber gemacht hat. Einerseits ist Windows 11 das neueste (*11*) Betriebssystem von Microsoft, was weitgehend von den Hardwarespezifikationen des Geräts abhängt. Daher steht es nicht allen Windows 11-Benutzern über die Funktion (*XNUMX*) des Betriebssystems zur Verfügung.
Böswillige Akteure haben diese Tatsache ausgenutzt und neue Domänen erstellt, die sich als Microsoft ausgeben. In diesem speziellen Fall fiel den Forschern die Domain „windows-upgraded.com“ auf, die stark einer offiziellen Microsoft-Seite ähnelt. Während dieses bereits entfernt wurde, warten wahrscheinlich noch deutlich mehr darauf, entdeckt zu werden.
Tolle Bereitstellungsphase
Forscher stellen außerdem fest, dass Gamer ihre Kampagne auch recht gut getimt haben: Microsoft gab kürzlich bekannt, dass es in die „breite Rollout-Phase“ eingetreten sei, in der Windows 11 jedem mit einem berechtigten Gerät über Windows Update angeboten wird.
Jeder, der am Ende Dateien von diesen gefälschten Seiten herunterlädt, erhält eine 11 MB große ZIP-Datei namens „WindowsXNUMXInstallationAssistant.zip“, extrahiert aus einem Discord-CDN.
Anstelle eines (*11*) Windows 11 laden Opfer RedLine Stealer herunter, eine Malware, die Browser nach gespeicherten Passwörtern, automatisch ausgefüllten Daten, Kreditkarteninformationen und mehr durchsucht.
Die Malware führt außerdem eine Systeminventur durch und extrahiert Informationen wie Benutzernamen, Standortdaten, Hardwarekonfiguration und auch Informationen über die auf dem Gerät installierte Sicherheitssoftware.
Neuere Versionen sind immer noch in der Lage, Kryptowährungs-Wallet-Informationen zu stehlen und auch FTP- und IM-Dienst-Clients anzugreifen. Sie können Dateien hoch- und herunterladen, Befehle ausführen und mit Ihrem C2-Server kommunizieren.
Via: BleepingComputer