偽の Windows 11 アップデートが現在 Web 上で蔓延しています。これは HP セキュリティ センターの研究者が最近発見したものです。このアップデートの目的は、対象の PC を RedLine Stealer マルウェアに感染させ、ブラウザに保存されているクレジット カード情報やオートコンプリート データなどのユーザー データを盗むことです。
2022 年 1 月 26 日に、Windows 11と発表されました。翌日、ドメイン名 windows-upgraded.com が登録されました。実際、ハッカーは Windows 11 アップデートとされるものを配布するためにこのドメイン名を登録しましたが、実際にはそれが隠されています。ファイルマルウェア RedLine Stealer。
ユーザーを欺くために、攻撃者は Microsoft サイトのカーボン コピーをセットアップします。会社のロゴ、Windows のさまざまな側面を説明するメニュー、検索エンジン、製品購入の可能性、Microsoft アカウントへの接続... 要するに、慣れていないと簡単に罠に陥るのに十分な要素です。 。このサイトでは、理論的には次のことができる ZIP ファイルのダウンロードを提案しています。Windows 10をアップデートしてWindows 11をインストールする。
こちらもお読みください:Windows 11 – これらの偽のインストール ファイルに注意してください。マルウェアが隠されています。
この偽の Windows 11 アップデートは RedLine Stealer マルウェアを隠します
ハードドライブ上で解凍されると、パックはWindows11インストールアシスタント.zip実行可能ファイル (いわゆるアップデートのインストールを可能にする)、XML ファイル、およびさまざまな DLL が含まれています。最も驚くべきことは、元の 1.5 MB アーカイブには、解凍後に 753 MB のディスク容量が必要です。実行可能ファイル自体の重さは 751 MB ですが、ここでは記録的なレベルの圧縮を扱っています。実際、HP の研究者は、プログラムのサイズを人為的に増大させることを目的とした、膨大な量の 0x30 (16 進数のコード) という無用な情報を発見しました。ほとんどのマルウェア分析ツールやその他のサンドボックスはこのようなファイル サイズを処理できないため、手作業でコードを分析し、不要な部分を削除する必要がありました。
こうして彼らは、実行可能ファイルがキャンペーンと同じように動作することを発見しました。レッドライン・スティーラー、昨年12月に行われました。 Discord アプリを装い、偽の Web サイトを悪用してマルウェアを拡散させました。 RedLine Stealer マルウェアを使用すると、攻撃者はブラウザによって記録された次のような情報を回復できます。オートコンプリートフィールド、銀行カードの詳細、など。このソフトウェアは、ユーザー名、ハードウェア構成、位置データ、インストールされているセキュリティ ソフトウェアのリストなど、すべてが含まれるシステムの詳細なインベントリも実行します。最後に、このマルウェアのより新しいバージョンも、被害者が保有する暗号通貨を盗むことを目的としています。
問題のあるサイトが非アクティブ化されている場合は、注意してください。Windows11 InstallationAssistant.zip 更新ファイルは今でも Web 上であちこちに出回っていますが、見つけるのに問題はありませんでした。いつものように、オペレーティング システムを更新する場合は、Windows Update モジュールを使用することを体系的にお勧めします。あるいはそれに失敗すると、Microsoft の公式 Web サイトで入手可能な実行可能ファイルをダウンロードします。。
ソース :HP 脅威調査
![[チュートリアル] ドライバーのインストール](https://yumie.trade/statics/image/placeholder.png)
