Upgrade Installer Windows 11 palsu terinfeksi malware RedLine

idNSA.id - Pelaku Kejahatan telah mulai mendistribusikan upgrade installer Windows 11 palsu kepada pengguna Windows 10, menipu user agar mengunduh dan menjalankan malware RedLine stealer.

Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase deployment Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi.

RedLine stealer saat ini adalah kata sandi, cookie browser, kartu kredit, dan pengambil info wallet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.

Menurut peneliti di HP, yang telah melihat kampanye ini, para pelaku menggunakan domain "windows-upgraded.com" yang tampaknya sah untuk bagian distribusi malware dari kampanye.

Situs tersebut tampak seperti situs Microsoft asli dan jika pengunjung mengeklik tombol 'Unduh Sekarang', mereka menerima arsip ZIP 1,5 MB bernama "Windows11InstallationAssistant.zip," diambil langsung dari CDN Discord.

Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.

Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai. Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.

File ini berisi DLL dengan konten yang disusun dalam bentuk terbalik, mungkin untuk menghindari deteksi dan analisis.

Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server command-and-control melalui TCP untuk mendapatkan instruksi tentang tugas apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.

Meskipun situs distribusi sedang tidak aktif sekarang, tidak ada yang menghentikan para pelaku untuk menyiapkan domain baru dan memulai kembali kampanye. Bahkan, ini sangat mungkin sudah terjadi di publik.

Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.

Ingat, situs berbahaya ini dipromosikan melalui forum dan posting media sosial atau pesan instan, jadi jangan percaya apa pun selain peringatan sistem pemutakhiran Windows resmi.