ハイライト
– 脅威アクターは正規の Windows アップグレードの名の下にマルウェアを拡散しています
– 正規品に見える Web サイトがマルウェアを配布するプラットフォームとして使用されています
– ダウンロードされるファイル サイズはわずか 1.5 MB です。
– 脅威アクターは RedLine Stealer マルウェアを配布しています。
– 脅威アクターの動機は、次のような被害者の個人情報を盗むことです。クレジット カードの詳細、仮想通貨ウォレットの詳細、パスワード、ブラウザの Cookie など
ハッカーは最近、本物に見える Web サイトを利用して、Windows 11 アップグレードの名目でユーザーにマルウェアをダウンロードさせるキャンペーンを開始しました。
偽の Windows 11 アップグレード インストーラーが PC に感染する仕組み
概要
Windows 11 は広範な導入段階に達しました。これは、お使いの PC が Windows 11 に対応している場合、Windows 11 21H2 が提供されることを意味します。
何人かのユーザーが Windows PC を Windows 10 から Windows 11 にアップグレードすることを心待ちにしており、おそらくハッカーがこのニーズを嗅ぎつけたのでしょう。そのため、彼らは最近、RedLine Stealer という名前のマルウェアを配布するための本格的なキャンペーンを開始しました。
この投稿では、何が起こったのか、そして現在の状況はどうなっているのかをもう少し詳しく掘り下げていきます。さらに重要なことは、自分が被害者にならないようにするためのいくつかの方法について説明することです。
1.手口
HP の研究者によると、攻撃者は正規に見える Web サイトである偽の Microsoft ドメイン (windows-upgraded.com) を使用してマルウェアを配布しました。大きな青色の [今すぐダウンロード] ボタンがあり、ユーザーに Windows 11 を入手するように促します。
出典: Threatresearch.ext.hp2.ユーザーが「今すぐダウンロード」ボタンをクリックすると何が起こりましたか?
ユーザーが「今すぐダウンロード」ボタンをクリックすると、1.5 MB の zip ファイルが受信されました。圧縮されたファイルの名前は Windows11 InstallationAssistant.zip でした。このファイルの圧縮率は 99.8% 近くという驚異的なものでした。これは、ファイルが解凍されたときに 753 MB のフォルダーが受信されたことを意味します。
ユーザーがフォルダー内の実行可能ファイルを起動すると、エンコードされた引数を使用して PowerShell プロセスが開始されました。次に続いたのは、タイムアウトが 21 秒の cmd.exe でした。このタイムアウトが経過すると、リモートにある Web サーバーから .jpg ファイルが取得されました。この .jpg ファイルは、内容が逆の順序で配置された DLL ファイルを偽装しており、これにより検出と分析がさらに可能になりました。 は難しい。
最終的に、RedLine Stealer マルウェアが侵害された PC にインストールされました。
3. RedLine マルウェアは何を盗むことができたのでしょうか?
このマルウェアは、パスワード、ユーザー名、クレジット カード番号、暗号通貨の詳細、その他のユーザー データなどの詳細を盗むことで悪名高いです。
4. Windows ユーザーがさらに注意する必要があるのはなぜですか?
現在、この配布 Web サイトは停止しています。しかし、それは攻撃者が止まることを意味するものではありません。彼らはおそらく、別のキャンペーンを実際に開始しているでしょう。
彼らの今のニーズは、Windows 10 から Windows 11 に移行したいというユーザーの緊急性を高めることであるのと同じように、私たちのものはそのようなキャンペーンを徹底的に阻止する必要があります。そして、それを受けて、ここにいくつかのポイントがあります–
1. ウイルス対策プログラムは決してオフにしないでくださいウイルス対策プログラムは、マルウェアをリアルタイムで追跡できます。これは、脅威がシステム上の他のファイルに広がる前に、マルウェアを追跡して削除することを意味します。 Systweak Antivirus のようなウイルス対策製品には、疑わしい Web サイトにアクセスするとすぐに警告する Web 保護モジュールもあります。
それとは別に、Systweak Antivirus は複数のスキャン モードを提供し、コンピュータの脆弱性を悪用する可能性のある脅威に対するリアルタイムの保護を提供し、システムのリソースを軽量にします。ここでは、Systweak Antivirus の包括的な裏返しのレビューを示します。
Systweak Antivirus の使用方法は次のとおりです –
2. ポーズをとっている Web サイトに注意してください人気のドメインとしてソーシャル メディア プラットフォームの 1 つ上のテキストから、前述の大ざっぱな偽の Microsoft Windows 11 アップグレード インストーラー ドメインの URL を受け取った可能性があります。
ここで知恵を絞り、RedLine Stealer マルウェアのダウンロードに陥る可能性のある実行可能ファイルの餌食にならないようにする必要があります。このような不審なリンクをクリックせず、Microsoft が展開する更新プログラムまたは Microsoft Web サイトからアップグレードをダウンロードしないことをお勧めします。
目と耳を開いてください!前述したように、たとえ偽の Windows 11 アップグレード インストーラーがダウンしたとしても、RedLine Stealer マルウェアが消えたと期待するのは重大な間違いです。アップグレードを取得するときは、細心の注意を払う必要があります。これについてどう思いますか?以下のコメントセクションでお知らせください。このようなニュースやテクノロジー関連のコンテンツをさらに知りたい場合は、WeTheGeek を読み続けてください。
読み取り: 0
