Các nhà nghiên cứu bảo mật tại HP đã cảnh báo về một trang web giả mạo hứa hẹn nâng cấp lên Windows 11 cho người dùng của Windows 10 thực sự là phần mềm độc hại được gọi là Vạch kẻ màu đỏ. Phần mềm độc hại này được bọn tội phạm sử dụng để lấy cắp thông tin đăng nhập và các thông tin khác.
Kể từ khi ra mắt vào tháng 10 năm ngoái, Windows 11 có sẵn chính thức xuyên qua Windows Cập nhật và trang web microsoft.com/software-download/windows11 như một bản nâng cấp miễn phí cho người dùng có PC được hỗ trợ. Giờ đây, bọn tội phạm đang tận dụng ưu đãi nâng cấp miễn phí để sử dụng nó làm mồi nhử để lây nhiễm phần mềm độc hại RedLine cho PC.
Vì điều này, bọn tội phạm đã tạo ra một trang web giả mạo có tên miền “windows-upgraded.com ”. Khi truy cập trang web giả mạo, người dùng sẽ thấy một trang rất gợi nhớ đến trang web chính thức của Microsoft với dòng chữ “TẢI NGAY”Được cho là cung cấp Hỗ trợ cài đặt cho Windows 11. Nếu người dùng nhấp vào nút, một tệp có tên “Windows11InstallationAssistant.zip” và 1Kích thước .5MB sẽ được tải xuống máy tính của bạn.
Trang web giả mạo được phát hiện bởi các nhà nghiên cứu bảo mật của HP đó là
được bọn tội phạm sử dụng để lây nhiễm phần mềm độc hại RedLine cho PC
(Sao chép / HP)
Tệp được giải nén sẽ dẫn đến một thư mục có dung lượng khoảng 735MB. Nếu người dùng mở tệp thực thi bên trong thư mục này, quy trình PowerShell sẽ bắt đầu, tiếp theo là quy trình công cụ dòng lệnh cmd.exe. Quá trình thứ hai này sẽ kết thúc sau 21 giây và ngay sau đó một tệp có đuôi .jpg sẽ được tải xuống máy tính của người dùng.
Tệp .jpg này chứa tệp DLL đã được sửa đổi để phần mềm bảo mật khó phát hiện ra. Sau khi được tải, tệp DLL, thực sự là phần mềm độc hại RedLine, kết nối với máy chủ chỉ huy và điều khiển để nhận thêm hướng dẫn từ bọn tội phạm chịu trách nhiệm về cuộc tấn công.
Sinh sản / HP
Khuyến nghị cho người dùng không rơi vào loại lừa đảo này là họ nâng cấp trực tiếp thông qua Windows Cập nhật hoặc truy cập trực tiếp vào trang web của Microsoft. Tránh nhấp vào các liên kết được cung cấp thông qua các dịch vụ như Discord và những dịch vụ khác tương tự. Phân tích kỹ thuật của các nhà nghiên cứu bảo mật của HP có thể được nhìn thấy đầy đủ nơi đây.
Via: Neowin.net, BleepingComputer Nguồn: HP
…..
