Un faux programme d'installation de Windows 11 a été découvert en ligne, et les spécialistes préviennent que tout consommateur sans méfiance qui le télécharge se retrouvera avec RedLine Stealer, un puissant logiciel malveillant capable de voler des mots de passe, des informations de portefeuille cryptographiques (devise, données de carte de crédit, informations de navigateur, etc.). Suite). beaucoup de suites.
Les spécialistes de la cybersécurité chez HP disent que celui qui est derrière cette attaque y a beaucoup réfléchi. D'une part, Windows 11 est le dernier (*11*) du système d'exploitation de Microsoft, qui dépend en grande partie des spécifications matérielles de l'appareil. En tant que tel, il n'est pas gratuit pour chaque utilisateur de Windows 11 via la fonctionnalité (*XNUMX*) du système d'exploitation.
Des acteurs malveillants ont profité de ce fait, créant de nouveaux domaines se faisant passer pour Microsoft. Dans ce cas particulier, les chercheurs ont remarqué le domaine windows-upgraded.com, qui ressemble beaucoup à un site Web officiel de Microsoft. Bien que celui-ci ait été supprimé depuis, il y en a probablement beaucoup plus qui attendent d'être découverts.
Grande phase de déploiement
Les chercheurs soulignent également que les joueurs ont également assez bien chronométré leur campagne : Microsoft a récemment annoncé qu'il était entré dans la "phase de déploiement à grande échelle", dans laquelle Windows 11 est proposé à toute personne disposant d'un appareil sélectionnable via Windows Update.
Quiconque finit par télécharger des fichiers à partir de ces faux sites recevra un fichier ZIP de 11 Mo appelé "WindowsXNUMXInstallationAssistant.zip", extrait d'un CDN Discord.
Au lieu de Windows 11 (*11*), les victimes téléchargeront RedLine Stealer, un logiciel malveillant qui récolte les navigateurs pour les mots de passe enregistrés, les données de remplissage automatique, les informations de carte de crédit, etc.
Le logiciel malveillant exécute également un inventaire du système, extrayant des informations telles que le nom d'utilisateur, les données de localisation, la configuration matérielle, ainsi que des informations sur les logiciels de sécurité installés sur l'appareil.
Les versions plus récentes sont toujours capables de voler des informations de portefeuille de crypto-monnaie, telles que le ciblage des clients des services FTP et IM. Vous pouvez charger et télécharger des fichiers, exécuter des commandes et communiquer avec votre serveur C2.
Via: BleepingComputer