Windows 11: occhio all'installer fake, è un malware

Windows 11: occhio all'installer fake, è un malware

Una nuova campagna malware che sfrutta RedLine e si camuffa da installer di Windows 11 punta a rubare i dati sensibili delle vittime.
Una nuova campagna malware che sfrutta RedLine e si camuffa da installer di Windows 11 punta a rubare i dati sensibili delle vittime.

Chi non ha ancora provveduto ad installare Windows 11 sul proprio PC e intende procedere in tal senso farebbe bene ad assicurarsi di prelevare il sistema operativo solo ed esclusivamente tramite gli strumenti resi ufficialmente disponibili da Microsoft. I malintenzionati sono infatti sempre pronti ad attaccare, sfruttando pure le installazioni del più recente OS di casa Redmond, e l’ultima ricerca condotta da dall’HP Threat Research Team ne è la prova evidente.

Windows 11: il finto installer con il malware RedLine

Gli esperti di sicurezza hanno individuato una nuova campagna malware attuata tramite un sito fraudolento graficamente identico a quello di Microsoft, mediante il quale viene diffuso il già noto RedLine, ovvero il peggiore codice malevolo attualmente disponibile sulla piazza.

Il nome del sito Internet, che adesso è diventato irraggiungibile, è windows-upgraded.com. Sulla home erano presenti la scritta “Get Windows 11” e il tasto “Download now”. Premendo sul pulsante veniva scaricato il pacchetto “Windows11InstallationAssistant.zip”, dal peso di 1,5 MB, il quale una volta decompresso presentava una cartella da 753 MB (con un tasso di compressione assai improbabile del 99,8%).

Avviando l’eseguibile veniva aperto un processo PowerShell con operazioni codificate e un processo tramite Prompt dei comandi con un timeout di 21 secondi. Alla scadenza veniva recuperato un file .jpg da un server remoto con un DLL progettato per evitare analisi sul rilevamento di codice malevolo.

Nel DLL, caricato alla fine delle operazioni tramite il primo processo PowerShell, era contenuto il payload RedLine, che puntava a collegarsi con un server command-and-control per avere istruzioni sulle operazioni da compiere per sfruttare la connessione con il sistema compromesso.

Da tenere presente che pur essendo il sito “incriminato” down, non è escluso che i malintenzionati possano mettere in piedi un nuovo portale tramite cui distribuire l’installer fake di Windows 11. Non bisogna quindi mai abbassare la guardia e soprattutto non ci si deve mai rivolgere a fonti non ufficiali per il download dei contenuti.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 10 feb 2022
Link copiato negli appunti