Pelaku ancaman telah mulai mendistribusikan penginstal pemutakhiran Windows 11 palsu kepada pengguna Windows 10, menipu mereka agar mengunduh dan menjalankan malware pencuri RedLine.
Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase penyebaran luas Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi mereka.
Pelaku mencuri kata sandi, cookie browser, kartu kredit, dan pengambil info dompet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.
Menurut peneliti di HP, para pelaku menggunakan domain “windows-upgraded.com” yang tampaknya sah untuk bagian distribusi malware dari kampanye mereka.
Situs tersebut tampak seperti situs Microsoft asli dan, jika pengunjung mengeklik tombol ‘Unduh Sekarang’, mereka menerima arsip ZIP 1,5 MB bernama “Windows11InstallationAssistant.zip,” diambil langsung dari CDN Discord.
Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.
Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai.
Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.
Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server perintah-dan-kontrol melalui TCP untuk mendapatkan instruksi tentang tugas jahat apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.
Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.
Pelaku ancaman juga memanfaatkan klien pembaruan Windows yang sah untuk mengeksekusi kode berbahaya pada sistem Windows yang disusupi, sehingga taktik yang dilaporkan oleh HP hampir tidak mengejutkan saat ini.
Sumber : Bleeping Computer
