Эксперты обнаружили вредоносное ПО, которое при загрузке выдаёт себя за установщик Windows 11. После открытия «установщика» программа, известная как RedLine Stealer, собирает данные, такие как информация о кредитной карте, пароли и даже данные, необходимые для криптовалютных кошельков.
Группа по исследованию угроз HP поделилась отчётом с подробным описанием угрозы безопасности 8 февраля 2022 года. При оценке проблемы эксперты компании обнаружили, что вредоносный файл распространяется через веб-сайт, который очень похож на официальную страницу Microsoft Windows 11. Когда пользователи нажимали кнопку загрузки на веб-сайте, файл, размещённый в системе обмена файлами Discord, сохранялся на их ПК.
HP объясняет, что её исследовательская группа впервые заметила регистрацию домена windows-upgrade.com всего через день после того, как было объявлено о заключительном этапе обновления Windows 11. Регистрация привела экспертов на веб-сайт, созданный для распространения вредоносных программ, которые обманом заставляли пользователей запускать поддельный установщик Windows 11. При нажатии веб-сайт загружал zip-файл с именем Windows11InstallationAssistant.zip на компьютер пользователя. По словам HP, размер архива в сжатом виде составляет всего 1,5 МБ — он содержит шесть файлов Windows DLL, переносимый исполняемый файл и файл XML. После активации исполняемый файл загружает и устанавливает RedLine Stealer на ПК пользователя.
Это ПО способно собирать любую информацию о программном и аппаратном обеспечении текущей системы. Оно копирует любые сохраненные пароли из браузеров, а также данные автозаполнения для кредитных или дебетовых карт. Таким образом, это один из самых опасных типов вредоносных программ.
Эксперты рекомендуют убедиться, что вы используете только официальные источники загрузки для любого нового программного обеспечения.