Slug skadlig programvara som finns på Discord låtsas vara Windows 11-installationsprogram

Om du letar efter ett sätt att kringgå Microsofts systemkrav för Windows 11, klicka inte på någon gammal webbplats och ladda ner ett installationsprogram. Som förväntat har skändliga aktörer redan laddat upp ett falskt Windows 11-installationsprogram på webben och installerar skadlig programvara på användarnas datorer medan de försöker installera det senaste operativsystemet.

En webbplats som går under namnet windows-upgraded[dot]com analyserades nyligen av HP:s hotforskningsteam, och de upptäckte att den försökte distribuera RedLine Stealer, en skadlig programvara som syftar till att stjäla användarinformation.

Discord låtsas vara Windows 11-installationsprogram

Webbplatsen, som visas av HP nedan (jag rekommenderar inte att du besöker den personligen), ser ut som en spegelbild av Microsofts egen Windows 11-installationswebbplats. Men under bannern “Hämta Windows 11” leder knappen märkt “Ladda ner nu” till ett tvivelaktigt installationsprogram som finns på Discords innehållsleveransnätverk (CDN).

Installationsprogrammet heter Windows11InstallationAssistant.zip, och det är bara 1,5 MB stort komprimerat. Den innehåller sex Windows DLL-filer, en XML-fil och en bärbar körbar fil. När filen väl är okomprimerad väger den 753 MB, och däri finns en ledtråd om dess skändliga avsikt.

“Eftersom den komprimerade storleken på zip-filen bara var 1,5 MB betyder det att den har ett imponerande komprimeringsförhållande på 99,8 %”, säger HP-forskare. “Detta är mycket större än det genomsnittliga zip-komprimeringsförhållandet för körbara filer på 47%. För att uppnå ett så högt kompressionsförhållande innehåller den körbara sannolikt utfyllnad som är extremt komprimerbar. Sett i en hex-redigerare är denna utfyllnad lätt att upptäcka.”

Utfyllnaden ser ut som ett gäng 0x30 bytekoder och har ingen inverkan på filens funktion. Detta kan också finnas där som ett sätt att kringgå antivirusgenomsökningar, föreslår HP, eftersom dessa kanske inte försöker att helt skanna en fil av denna storlek.

HP Wolf Security-bild som visar en speglad installationsplats för Windows 11

När filen körs går den igenom rörelserna att ladda ner och köra den skadliga programvaran RedLine Stealer, som försöker stjäla användarinformation, lösenord, kreditkortsinformation och plånböcker för kryptovaluta. Den kommer sedan att försöka ringa hem till en IP-adress och skicka denna information till angriparna.

Som HP noterar liknar detta också en annan attack som den analyserade 2021. Angripare använde en liknande förfalskningsteknik för att skapa en Discord-webbsida med ett närbesläktat men felstavat namn för att lura användare att ladda ner ett farligt installationsprogram som utgav sig för att vara Discords eget. HP noterar att denna attack använde samma DNS-servrar, skadlig programvara och domänregistrator som Windows 11.

När det gäller Windows 11 finns det sätt att ladda ner det säkert. Microsoft släpper gradvis det nya operativsystemet, som lanserades i oktober, till kompatibla datorer. Som sagt, inte alla datorer kommer att erbjudas Windows 11, och det beror på säkerhetsbaserade systemkrav som operativsystemet beror på.

Om du är i den båten, med en äldre CPU som inte är kompatibel med Windows 11, rekommenderar vi inte att du söker på webben efter en ISO eller installationsprogram. Istället kanske du kan installera operativsystemet via Microsofts officiella nedladdningssida, med en Windows 11 ISO eller installationsmedia. Det finns dock vissa farhågor här. Microsoft garanterar inte att du kommer att få viktiga uppdateringar på detta sätt, och du kan sitta kvar med en osäker version av ditt operativsystem.

För säkerhets skull är det bästa du kan göra att sitta hårt tills du uppgraderar din hårdvara. Windows 11 är inte mycket av en avvikelse från Windows 10, egentligen, så du går inte miste om en hel del utan rundade hörn. Även Windows 11:s bästa kommande spelfunktion, DirectStorage, kommer att komma till Windows 10.

Leave a Reply

Your email address will not be published.