Gli attori delle minacce stanno mascherando RedLine Stealer, una famiglia di malware per il furto di informazioni molto pubblicizzata per la vendita all’interno di forum clandestini, in falsi installer come aggiornamento di Windows 11.
Lo hanno rilevato gli esperti di HP che hanno analizzato di recente un falso programma per l’upgrade. Un attore malintenzionato ha registrato il dominio windows-upgraded[.]com che risulta appena registrato, ha imitato un marchio legittimo e approfittato di un annuncio recente per distribuire il malware.
Il design del sito Web legittimo copiato dall’attore malevole è quello di Windows 11. Una volta cliccato sul pulsante “Scarica ora” viene scaricato un archivio zip sospetto denominato Windows11InstallationAssistant.zip . Il file è stato ospitato sulla rete di distribuzione dei contenuti di Discord.
RedLine Stealer raccoglie varie informazioni sull’ambiente di esecuzione corrente, come il nome utente, il nome del computer, il software installato e le informazioni sull’hardware. Il malware ruba anche le password memorizzate dai browser Web, i dati di completamento automatico come le informazioni sulla carta di credito, nonché i file e i portafogli di criptovaluta.
Le tattiche, le tecniche e le procedure (TTP) in questa campagna di RedLine Stealer sono simili a una campagna analizzata dai ricercatori nel dicembre 2021, in cui l’attore delle minacce ha registrato discrodappp[.]com per veicolare RedLine Stealer travestito da installer per la popolare app di messaggistica. In entrambe le campagne, l’attore ha utilizzato falsi siti Web che imitavano software popolare per indurre gli utenti a installare il proprio malware, ha registrato i domini utilizzando lo stesso registrar di domini, utilizzato gli stessi server DNS e distribuito la stessa famiglia di malware.
https://threatresearch.ext.hp.com/redline-stealer-disguised-as-a-windows-11-upgrade/