کاربران باید مراقب فایلهای نصب Windows 11 جعلی که برای انتشار بدافزار RedLine بکار گرفته شدهاند، باشند. این بدافزار رمزهای عبور کاربران را سرقت میکند.
RedLine بدافزار پیچیدهای نیست، اما میتواند رمزهای عبور را سرقت کند. این بدافزار در انجمنهای سایبری روسیه تبلیغ میشود و به افرادی که میخواهند ارزهای دیجیتالی همچون بیتکوین (Bitcoin) یا اتریوم (Ethereum) را سرقت کنند، به صورت یک سرویس، تنها در ازای 150 دلار برای اشتراک یک ماهه یا 800 دلار برای استفاده دائمی، فروخته میشود.
مهاجمان از ترفندهای متعددی برای ترغیب کاربران ناآگاه به دریافت فایلهای نصب جعلی جهت ارتقاء Windows 10 به Windows 11 استفاده میکنند.
شرکت مایکروسافت (.Microsoft Corp) مشخصات بسیار بالایی را برای سخت افزارهای واجد شرایط ارتقاء به Windows 11 تعیین کرده و بیشتر پردازندههای جدیدتر را برای این کار ترجیح میدهد. تعداد کمی از دستگاهها در ابتدا واجد شرایط بودند، اما مایکروسافت اخیراً اعلام کرد که برای پاسخگویی به میزان تقاضای غیرمنتظره، اعلام دستگاههای واجد شرایط را تسریع کرده است.
در این مورد، هکرها سعی کردند از اطلاعیه 6 بهمن 1400 مایکروسافت مبنی بر ”آغاز مرحله نهایی برای عرضه Windows 11 و آمادگی برای توزیع آن بر روی دستگاههای واجد شرایط” جهت فریب کاربران استفاده کنند و فوراً اقدام به ثبت دامنه (Domain) جعلی خود کردند.
محققان امنیتی HP دریافتند که مهاجمان RedLine، دامنهای جعلی را به امید فریب کاربران Windows 10 برای دریافت و اجرای یک برنامه نصب Windows 11 جعلی، ثبت کردهاند. در واقع مهاجمان از این دامنه برای توزیع RedLine Stealer، یک بدافزار سرقت رمز عبور که به طور گسترده برای فروش در انجمنهای زیرزمینی تبلیغ میشود، استفاده مینمایند. نام دامنه جعلی توسط یک شرکت روسی ثبت کننده دامنه، ثبت شده است. صفحه اصلی ارتقاء Windows 11 در دامنه Microsoft.com میزبانی میشود.
هدف بدافزار RedLine سرقت رمزهای عبور ذخیره شده در مرورگرهای وب، دادههای تکمیل شده بصورت خودکار همچون مشخصات کارت اعتباری و همچنین فایلها و کیفهای پول رمزارزها است.
مایکروسافت بروزرسانیهای Windows را همانند توزیع اصلاحیههای امنیتی ماهانه خود، آسان و روان کرده است. اما مهاجمان با ساخت یک فایل فشرده مخرب و بسیار کم حجم 1.5 مگابایتی، در این مورد بهتر از مایکروسافت و محصول واقعی عمل کردهاند. اگرچه این فایل بعد از باز شدن، یک پوشه با حجم 753 مگابایت میشود؛ یعنی میزان فشردهسازی 98.2 درصد بوده که در نوع خود کم سابقه است. این نسبت به مراتب بزرگتر از میزان متوسط فشردهسازی برای فایلهای اجرایی یعنی 47 درصد است. محققان در این خصوص معتقدند که برای دستیابی به چنین نسبت تراکم بالایی، احتمالاً فایل اجرایی بدافزار مخصوصاً حجیم شده است. دلیل اینکار می تواند فرار از پویش و شناسایی شدن توسط محصولات امنیتی باشد. فایلهایی با این اندازه ممکن است توسط ضدویروس و سایر راهکارهای امنیتی پویش نشوند و در نتیجه احتمال اجرای بدون مانع و شانس نصب فایل مخرب افزایش مییابد.
سوءاستفاده از اطلاعیه Windows 11 شرکت مایکروسافت تنها نمونهای از ترفندهای بکارگرفته شده توسط گردانندگان RedLine است که یک سرویس بدافزاری ارزان را برای افراد غیرمتخصص فراهم کردهاند. پیشتر نیز گردانندگان RedLine از طریق سایت دریافت پیامرسان Discord جعلی، فایل مخرب خود را منتشر میکردند.
محققان HP توصیه میکنند، از آنجایی که در چنین کارزارهایی منبع آلودگی اولیه اغلب دریافت نرمافزار از اینترنت است، سازمانها میتوانند تنها با دریافت نرمافزار از منابع قابل اعتماد از چنین آلودگیهایی جلوگیری کنند.
منبع:
https://www.zdnet.com/article/this-password-stealing-malware-posed-as-a-windows-11-download