Kiberbiztonsági szakértők agresszív, adatlopásra alkalmas vírust azonosítottak egy olyan weboldalon, amelyről hivatalosnak tűnő Windows 11 telepítő programot lehet letölteni.
Hatalmas károk
A szóban forgó szoftvercsomag az úgynevezett RedLine malware-t (kártékony szoftver) tartalmazza, amely telepítés után jelszavakat, internetes sütiket, bankkártyaadatokat és kriptotárca-adatokat képes ellopni. Röviden: óriási károkat tud okozni.
A HP kutatói rávilágítottak, hogy a kiberbűnözők rendkívül jól időzítették akciójukat, ugyanis a Microsoft a napokban jelentette be a Windows 11 széles körű bevezetését a Windows 10 felhasználóknak.
Tovább rontja a helyzetet, hogy a hackerek a „windows-upgraded.com” domainen keresztül terjesztették a malware-t, ami könnyen lépre csalhatja a gyanútlan felhasználókat.
Hogyan működik?
Az említett webhely a megszólalásig hasonlít a Microsoft hivatalos oldalára. Ha a látogató rákattintott a letöltés gombra, akkor egy „Windows11InstallationAssistant.zip” nevű, 1,5 MB-os ZIP-archívum került a gépére.
A fájl kicsomagolása egy 753 MB méretű mappát eredményez. Amikor az áldozat rákattint a mappában található installálóra, elindul egy PowerShell-művelet, amelyet egy cmd.exe folyamat követ 21 másodperces időtúllépéssel. Amint ez lejárt, egy .jpg fájl kerül lehívásra egy távoli webszerverről.
Ez a fájl egy fordított elrendezésű DLL-t tartalmaz (dinamikus csatolású könyvtár; a Windows operációs rendszerek programjainak segédfájljait, az úgynevezett megosztott könyvtárakat jelentik), amely végrehajtás után lecseréli az aktuális szálkörnyezetet. Ez a DLL valójában maga a RedLine vírus.
Az illetékes szakemberek a felfedezést követően eltávolították a weboldalt, az viszont szinte biztos, hogy hamarosan újra meg fog jelenni a program a kibertérben.
