Egy férfi egy tollal a kezében nyomkodja a laptopja billentyűzetét, amelynek képernyőjén a Windows 11 logója látható

Kiberbiztonsági szakértők agresszív, adatlopásra alkalmas vírust azonosítottak egy olyan weboldalon, amelyről hivatalosnak tűnő Windows 11 telepítő programot lehet letölteni.



Hatalmas károk

A szóban forgó szoftvercsomag az úgynevezett RedLine malware-t (kártékony szoftver) tartalmazza, amely telepítés után jelszavakat, internetes sütiket, bankkártyaadatokat és kriptotárca-adatokat képes ellopni. Röviden: óriási károkat tud okozni.

A HP kutatói rávilágítottak, hogy a kiberbűnözők rendkívül jól időzítették akciójukat, ugyanis a Microsoft a napokban jelentette be a Windows 11 széles körű bevezetését a Windows 10 felhasználóknak.

Tovább rontja a helyzetet, hogy a hackerek a „windows-upgraded.com” domainen keresztül terjesztették a malware-t, ami könnyen lépre csalhatja a gyanútlan felhasználókat.

Hogyan működik?

Az említett webhely a megszólalásig hasonlít a Microsoft hivatalos oldalára. Ha a látogató rákattintott a letöltés gombra, akkor egy „Windows11InstallationAssistant.zip” nevű, 1,5 MB-os ZIP-archívum került a gépére.

A fájl kicsomagolása egy 753 MB méretű mappát eredményez. Amikor az áldozat rákattint a mappában található installálóra, elindul egy PowerShell-művelet, amelyet egy cmd.exe folyamat követ 21 másodperces időtúllépéssel. Amint ez lejárt, egy .jpg fájl kerül lehívásra egy távoli webszerverről.

Ez a fájl egy fordított elrendezésű DLL-t tartalmaz (dinamikus csatolású könyvtár; a Windows operációs rendszerek programjainak segédfájljait, az úgynevezett megosztott könyvtárakat jelentik), amely végrehajtás után lecseréli az aktuális szálkörnyezetet. Ez a DLL valójában maga a RedLine vírus.

Az illetékes szakemberek a felfedezést követően eltávolították a weboldalt, az viszont szinte biztos, hogy hamarosan újra meg fog jelenni a program a kibertérben.

A felhasználók valójában egy dolgot tehetnek saját védelmük érdekében: csak a Microsoft hivatalos forrásaiból töltsék le a telepítőt. Fontos megjegyezni, hogy a bűnözők többnyire azt használják ki, hogy sok gép hardware-es teljesítménye nem felel meg a rendszerkövetelményeknek, ők viszont úgy hirdetik programjukat, hogy az minden géppel kompatibilis. Ezeket a megoldásokat többnyire közösségi platformokon, privát üzenetekben, illetve népszerű fórumokon reklámozzák.

The Conversation

Ne hagyd ki!