มัลแวร์ RedLine ปลอมเป็นตัวติดตั้งอัปเกรด Windows 11
ผู้โจมตีได้เริ่มเผยแพร่ตัวติดตั้งอัปเกรด Windows 11 ปลอม ให้กับผู้ใช้ Windows 10 ดาวน์โหลด แต่จะเป็นการถูกติดตั้งมัลแวร์ RedLine แทน ซึ่งมัลแวร์ได้ใช้ช่วงเวลาเดียวกันกับที่ทาง Microsoft ได้ประกาศเผยแพร่การอัปเกรด Windows 11 ในการแพร่กระจายตัวติดตั้งปลอมนี้
มัลแวร์ Redline stealer
Redline stealer ** เป็นมัลแวร์ที่ถูกใช้งานอย่างแพร่หลาย มีคุณสมบัติในการขโมยข้อมูล Credentials คุกกี้ของเบราว์เซอร์ บัตรเครดิต และขโมยข้อมูลกระเป๋าเงินดิจิทัล มีความสามารถในการโหลด Payload C2 server
ขั้นตอนของการโจมตี
นักวิจัยของ HP ได้วิเคราะห์แคมเปญนี้ว่า
- ผู้โจมตีใช้โดเมน "windows-upgraded[.]com" ซึ่งถูกออกแบบเว็บไซต์ให้เหมือน Windows 11 ที่ถูกต้อง
- เมื่อกด "DOWNLOAD NOW" ระบบจะทำการดาวน์โหลดไฟล์
- Windows11InstallationAssistant.zip (ไฟล์ที่ดาวน์โหลดนั้นจะมีขนาดเพียง 1.5 MB ช่วยลดความน่าสงสัย แต่หลังจากแตกไฟล์มาจะมีขนาด 753 MB)
- หลังจากติดตั้งจะเริ่มรันสคริปต์อันตรายและ Payload ของมัลแวร์จะถูกติดตั้งเพิ่ม
แม้ว่าเว็บไซต์ดังกล่าวจะหยุดการทำงานไปแล้ว แต่ก็มีโอกาสที่แคมเปญในลักษณะนี้จะเกิดขึ้นอีก เนื่องจาก Windows 11 เป็นการอัปเกรดที่สำคัญ ผู้ใช้ Windows 10 หลายคนนั้นไม่สามารถอัปเกรดได้เนื่องจากความเข้ากันไม่ได้ของฮาร์ดแวร์ ซึ่งเป็นสิ่งที่ผู้โจมตีเห็นว่าเป็นโอกาสที่ยอดเยี่ยมในการเผยแพร่มัลแวร์ให้กับเหยื่อ การโจมตีในลักษณะนี้ใช้เทคนิค Social engineering Attacks โปรโมตผ่านฟอรัมและโพสต์โซเชียลมีเดีย ดังนั้นอย่าเชื่อถืออะไรนอกจากการแจ้งเตือนระบบอัปเกรด Windows อย่างเป็นทางการ
IOCs
Hash
4293d3f57543a41005be740db7c957d03af1a35c51515585773cedee03708e54
b50b392ccb07ed7a5da6d2f29a870f8e947ee36c43334c46c1a8bb21dac5992c
7d5ed583d7efe318fdb397efc51fd0ca7c05fc2e297977efc190a5820b3ee316
c7bcdc6aecd2f7922140af840ac9695b1d1a04124f1b3ab1450062169edd8e48
6b089a4f4fde031164f3467541e0183be91eee21478d1dfe4e95c4a0bb6a6578
Domain
windows-upgraded[.]com
hxxps://cdn[.]discordapp[.]com/attachments/928009932928856097/936319550855716884/Windows11InstallationAssistant[.]zip
hxxp://81[.]4[.]105[.]174/win11[.]jpg
45[.]146[.]166[.]38:2715
You must be logged in to post a comment.