RedLine؛ بدافزار پنهان در Windows 11

کاربران باید مراقب فایل‌های نصب Windows 11 جعلی که برای انتشار بدافزار RedLine بکار گرفته شده‌اند، باشند. این بدافزار رمزهای عبور کاربران را سرقت می‌کند.

RedLine بدافزار پیچیده‌ای نیست، اما می‌تواند رمزهای عبور را سرقت کند. این بدافزار در انجمن‌های سایبری روسیه تبلیغ می‌شود و به افرادی که می‌خواهند ارزهای دیجیتالی همچون بیت‌کوین (Bitcoin) یا اتریوم (Ethereum) را سرقت کنند، به صورت یک سرویس، تنها در ازای 150 دلار برای اشتراک یک ماهه یا 800 دلار برای استفاده دائمی، فروخته می‌شود.

مهاجمان از ترفندهای متعددی برای ترغیب کاربران ناآگاه به دریافت فایل‌های نصب جعلی جهت ارتقاء Windows 10 به Windows 11 استفاده می‌کنند.

شرکت مایکروسافت (.Microsoft Corp) مشخصات بسیار بالایی را برای سخت افزارهای واجد شرایط ارتقاء به Windows 11 تعیین کرده و بیشتر پردازنده‌های جدیدتر را برای این کار ترجیح می‌دهد. تعداد کمی از دستگاه‌ها در ابتدا واجد شرایط بودند، اما مایکروسافت اخیراً اعلام کرد که برای پاسخگویی به میزان تقاضای غیرمنتظره، اعلام دستگاههای واجد شرایط را تسریع کرده است.

در این مورد، هکرها سعی کردند از اطلاعیه 6 بهمن 1400 مایکروسافت مبنی بر ”آغاز مرحله نهایی برای عرضه Windows 11 و آمادگی برای توزیع آن بر روی دستگاه‌های واجد شرایط” جهت فریب کاربران استفاده کنند و فوراً اقدام به ثبت دامنه‌ (Domain) جعلی خود کردند.

محققان امنیتی HP دریافتند که مهاجمان RedLine، دامنه‌ای جعلی را به امید فریب کاربران Windows 10 برای دریافت و اجرای یک برنامه نصب Windows 11 جعلی، ثبت کرده‌اند. در واقع مهاجمان از این دامنه برای توزیع RedLine Stealer، یک بدافزار سرقت رمز عبور که به طور گسترده برای فروش در انجمن‌های زیرزمینی تبلیغ می‌شود، استفاده می‌نمایند. نام دامنه جعلی توسط یک شرکت روسی ثبت کننده دامنه، ثبت شده است. صفحه اصلی ارتقاء Windows 11 در دامنه Microsoft.com میزبانی می‌شود.

هدف بدافزار RedLine سرقت رمزهای عبور ذخیره شده در مرورگرهای وب، داده‌های تکمیل شده بصورت خودکار همچون مشخصات کارت اعتباری و همچنین فایل‌ها و کیف‌های پول رمزارزها است.

مایکروسافت بروزرسانی‌‌های Windows را همانند توزیع اصلاحیه‌های امنیتی ماهانه خود، آسان و روان کرده است. اما مهاجمان با ساخت یک فایل فشرده مخرب و بسیار کم حجم 1.5 مگابایتی، در این مورد بهتر از مایکروسافت و محصول واقعی عمل کرده‌اند. اگرچه این فایل بعد از باز شدن، یک پوشه با حجم 753 مگابایت می‌شود؛ یعنی میزان فشرده‌سازی 98.2 درصد بوده که در نوع خود کم سابقه است. این نسبت به مراتب بزرگتر از میزان متوسط فشرده‌سازی برای فایل‌های اجرایی یعنی 47 درصد است. محققان در این خصوص معتقدند که برای دستیابی به چنین نسبت تراکم بالایی، احتمالاً فایل اجرایی بدافزار مخصوصاً حجیم شده است. دلیل اینکار می تواند فرار از پویش و شناسایی شدن توسط محصولات امنیتی باشد. فایل‌هایی با این اندازه ممکن است توسط ضدویروس و سایر راهکارهای امنیتی پویش نشوند و در نتیجه احتمال اجرای بدون مانع و شانس نصب فایل مخرب افزایش می‌یابد.

سوءاستفاده از اطلاعیه Windows 11 شرکت مایکروسافت تنها نمونه‌ای از ترفندهای بکارگرفته شده توسط گردانندگان RedLine است که یک سرویس بدافزاری ارزان را برای افراد غیرمتخصص فراهم کرده‌اند. پیشتر نیز گردانندگان RedLine از طریق سایت دریافت پیام‌رسان Discord جعلی، فایل مخرب خود را منتشر می‌کردند.

محققان HP توصیه می‌کنند، از آنجایی که در چنین کارزارهایی منبع آلودگی اولیه اغلب دریافت نرم‌افزار از اینترنت است، سازمان‌ها می‌توانند تنها با دریافت نرم‌افزار از منابع قابل اعتماد از چنین آلودگی‌هایی جلوگیری کنند.

 

منبع:

https://www.zdnet.com/article/this-password-stealing-malware-posed-as-a-windows-11-download

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *