Windows 11: occhio all'installer fake, è un malware
Topic
Approfondimenti
Trending
tutti

Windows 11: occhio all'installer fake, è un malware

Una nuova campagna malware che sfrutta RedLine e si camuffa da installer di Windows 11 punta a rubare i dati sensibili delle vittime.
Windows 11: occhio all'installer fake, è un malware
Sicurezza Antivirus
Una nuova campagna malware che sfrutta RedLine e si camuffa da installer di Windows 11 punta a rubare i dati sensibili delle vittime.
Unsplash

Chi non ha ancora provveduto ad installare Windows 11 sul proprio PC e intende procedere in tal senso farebbe bene ad assicurarsi di prelevare il sistema operativo solo ed esclusivamente tramite gli strumenti resi ufficialmente disponibili da Microsoft. I malintenzionati sono infatti sempre pronti ad attaccare, sfruttando pure le installazioni del più recente OS di casa Redmond, e l’ultima ricerca condotta da dall’HP Threat Research Team ne è la prova evidente.

Windows 11: il finto installer con il malware RedLine

Gli esperti di sicurezza hanno individuato una nuova campagna malware attuata tramite un sito fraudolento graficamente identico a quello di Microsoft, mediante il quale viene diffuso il già noto RedLine, ovvero il peggiore codice malevolo attualmente disponibile sulla piazza.

Il nome del sito Internet, che adesso è diventato irraggiungibile, è windows-upgraded.com. Sulla home erano presenti la scritta “Get Windows 11” e il tasto “Download now”. Premendo sul pulsante veniva scaricato il pacchetto “Windows11InstallationAssistant.zip”, dal peso di 1,5 MB, il quale una volta decompresso presentava una cartella da 753 MB (con un tasso di compressione assai improbabile del 99,8%).

Avviando l’eseguibile veniva aperto un processo PowerShell con operazioni codificate e un processo tramite Prompt dei comandi con un timeout di 21 secondi. Alla scadenza veniva recuperato un file .jpg da un server remoto con un DLL progettato per evitare analisi sul rilevamento di codice malevolo.

Nel DLL, caricato alla fine delle operazioni tramite il primo processo PowerShell, era contenuto il payload RedLine, che puntava a collegarsi con un server command-and-control per avere istruzioni sulle operazioni da compiere per sfruttare la connessione con il sistema compromesso.

Da tenere presente che pur essendo il sito “incriminato” down, non è escluso che i malintenzionati possano mettere in piedi un nuovo portale tramite cui distribuire l’installer fake di Windows 11. Non bisogna quindi mai abbassare la guardia e soprattutto non ci si deve mai rivolgere a fonti non ufficiali per il download dei contenuti.

Fonte: HP Threat Research

Pubblicato il 10 feb 2022

Link copiato negli appunti

Ti potrebbe interessare

Blocca il telemarketing selvaggio con il servizio Incogni

Blocca il telemarketing selvaggio con il servizio Incogni
Norton vs McAfee: Principali Differenze e Quale Scegliere

Norton vs McAfee: Principali Differenze e Quale Scegliere
Password Manager: I Migliori Tool di Gestione Password del 2024

Password Manager: I Migliori Tool di Gestione Password del 2024
Sicurezza digitale con il 50% di sconto: Incogni costa meno di 80€/anno

Sicurezza digitale con il 50% di sconto: Incogni costa meno di 80€/anno
Blocca il telemarketing selvaggio con il servizio Incogni

Blocca il telemarketing selvaggio con il servizio Incogni
Norton vs McAfee: Principali Differenze e Quale Scegliere

Norton vs McAfee: Principali Differenze e Quale Scegliere
Password Manager: I Migliori Tool di Gestione Password del 2024

Password Manager: I Migliori Tool di Gestione Password del 2024
Sicurezza digitale con il 50% di sconto: Incogni costa meno di 80€/anno

Sicurezza digitale con il 50% di sconto: Incogni costa meno di 80€/anno
Martina Oliva
Pubblicato il
10 feb 2022
Link copiato negli appunti