Фальшивий інсталятор Windows 11 краде паролі та дані кредитних карт

Виявлено нове ПЗ, яке видає себе за інсталятор нової ОС. Після його відкриття комп’ютер відразу заражається. Шпигунське ПЗ збирає дані, паролі карток та криптовалютних гаманців.

Група дослідження загроз HP поділилася звітом з докладним описом загрози безпеки 8 лютого 2022 року. При оцінці проблеми експерти компанії виявили, що шкідливий файл розповсюджується через веб-сайт, який дуже схожий на офіційну сторінку Microsoft Windows 11. Коли користувачі натискали кнопку завантаження на веб-сайті, файл, розміщений у системі обміну файлами Discord, зберігався на їхньому ПК.

HP пояснює, що її дослідницька група вперше помітила реєстрацію домену windows-upgrade.com лише через день після того, як було оголошено про заключний етап оновлення Windows 11. Реєстрація привела експертів на веб-сайт, створений для поширення шкідливих програм, які обманом змушували користувачів запускати фальшивий інсталятор Windows 11.

Під час натискання веб-сайт завантажував zip-файл з ім’ям Windows11InstallationAssistant.zip на комп’ютер користувача. За словами HP, розмір файлу в стислому вигляді становить лише 1,5 МБ; він містить шість файлів Windows DLL. Після активації виконуваний файл завантажує та встановлює RedLine Stealer на ПК користувача.

Це ПЗ здатне збирати будь-яку інформацію про програмне та апаратне забезпечення поточної системи. Він копіює будь-які збережені паролі з браузерів, а також дані автозаповнення для кредитних або дебетових карток. Таким чином, це один із найнебезпечніших типів шкідливих програм.

Експерти рекомендують переконатися, що ви використовуєте лише офіційні джерела завантаження будь-якого нового програмного забезпечення.