Хотя нам часто советуют подождать перед загрузкой обновлений ОС, пока ошибки не будут устранены, иногда волнение берет над нами верх. Один хакер рассчитывал на то, что у пользователей потекут слюнки при возможности загрузить новую ОС, и выпустил поддельный установщик Windows 11, загруженный вредоносным ПО.
HP обнаружила поддельный установщик
Для разнообразия именно HP заметила поддельный установщик Windows 11, а не охранная фирма.
HP объяснила в своем блоге: «Домен привлек наше внимание, потому что он был недавно зарегистрирован, имитировал законный бренд и воспользовался недавним объявлением».
26 января 2022 года Microsoft объявила о последней группе компьютеров, на которых будет установлена Windows 11. Днем позже HP обнаружила самозванца на веб-сайте с доменом «windows-upgrade[.]com».
В этом домене было все необходимое, чтобы выглядеть законным, и, конечно же, была кнопка «Загрузить». Однако загружается троян, который может украсть ваши пароли или другие данные.
Вредоносное ПО вместо установщика Windows 11
Хотя вы и почувствуете радость, обнаружив этот установщик, вскоре вы перестанете радоваться, когда ваш компьютер будет заполнен вредоносным ПО.
После нажатия кнопки «Загрузить» вы получите ZIP-файл размером 1,5 МБ с именем «Windows11InstallationAssistant». Разархивируйте файл, и теперь он будет 753MG, так как хакер добавил в код «отступы».
Одна из причин, по которой злоумышленники могли вставить такую область-заполнитель, сделав файл очень большим, заключается в том, что файлы такого размера могут не сканироваться антивирусом и другими элементами управления сканированием, тем самым увеличивая вероятность беспрепятственного выполнения файла. и установите вредоносное ПО», — пояснила HP.
Если вы попытаетесь установить Windows 11 из этого файла, на ваш компьютер будет загружен пакет вредоносного ПО RedLine Stealer. Он доступен на подпольных форумах киберпреступников и способен украсть пароли и данные, которые автоматически заполняются в вашем браузере.
Эта операция аналогична той, которую HP проанализировала в декабре 2021 года. Хакер использовал домен «discrodappp[.]com» и выдавал себя за установщика Discord. И этот домен, и домен поддельного установщика Windows 11 использовали один и тот же регистратор домена, DNS-серверы и тип вредоносного ПО. Последний домен больше не доступен в сети.
Согласно предупреждениям не загружать обновления сразу, если мы торопимся загружать, мы также должны знать, что хакеры пытаются воспользоваться ситуацией, что может быть намного хуже, чем программное обеспечение с ошибками. В следующий раз наверняка появятся новые хакеры, планирующие аналогичные, но более скрытые действия.
