Böswillige Akteure nutzten eine gefälschte Windows 11-Downloadsite, um RedLine Stealer-Malware zu verbreiten.
Sicherheitsforscher von HP fanden heraus, dass Cyberkriminelle eine gefälschte, in Moskau registrierte, Domain innehaben, in der Hoffnung, Windows 10-Benutzer dazu zu verleiten, ein gefälschtes Windows 11-Installationsprogramm herunterzuladen und auszuführen. Die Angreifer kopierten dabei das Design der legitimen Windows 11-Website. Jedoch laden sich gutgläubige Besucher durch Klicken auf die Schaltfläche „Download now“ mit einem Zip-Archiv Schadsoftware auf den Rechner.
Als Windows 11 Upgrade getarnt: RedLine Stealer
Eine neue Kampagne zielte mittels RedLine Stealer-Malware auf Opfer ab. HP beschreibt die Entdeckung des Angriffs in ihrem Threat Research Blog. Das HP-Team bemerkte, dass ein böswilliger Akteur die scheinbar legitime Domain „windows-upgraded[.]com“ am 27. Januar 2022 registrierte. Die Seite war so konzipiert, dass sie wie die offizielle Microsoft-Website zum Herunterladen von Windows 11 aussieht, bis hin zum Logo, dem Website-Layout und der minimalistischen Designästhetik. „Holen Sie sich Windows 11“ steht gut sichtbar angezeigt. Darunter befand sich eine Schaltfläche mit der Aufschrift „Download now“.
HP warnt vor der Malware
Die gefälschte Website leitete potenzielle Opfer zu einem Link, der, einmal angeklickt, die Malware RedLine Stealer herunterlädt. Diese Art von Malware ist in der Lage, Informationen zu stehlen, indem sie den Webbrowser infiziert. RedLine Stealer ist in der Lage, Daten aus Browsern, wie gespeicherte Passwörter, Kreditkarteninformationen sowie Wallets für Kryptowährungen u.a. auszulesen und zu stehlen. Sie hat es aber genauso auf Benutzername, Computername, installierte Software und Hardwareinformationen abgesehen. Infektionen mit der Malware können folglich schwerwiegende Folgen für die Opfer haben.
HP-Malware-Analyst Patrick Schläpfer informiert
„Wenn Sie auf diese Schaltfläche geklickt haben, würden Sie sich an einen Discord-Speicherserver wenden und eine 1,5 MB große komprimierte Datei namens Windows11InstallationAssistant.zip herunterladen. Ausgepackt wurde die Datei auf satte 753 MB erweitert – eine Komprimierungsrate von phänomenalen 99,8 Prozent.
Ein Grund, warum die Angreifer einen solchen Füllbereich eingefügt haben könnten, wodurch die Datei sehr groß wird, ist, dass Dateien dieser Größe möglicherweise nicht von einem Antivirus und anderen Scan-Steuerelementen gescannt werden, wodurch die Wahrscheinlichkeit erhöht wird, dass die Datei ungehindert Malware ausführen und installieren kann.“
HP bemerkte die gefälschte Website am 27. Januar, nur einen Tag nachdem Microsoft angekündigt hatte, dass Windows 11 als kostenloser Download für alle berechtigten Geräte verfügbar sein würde. Patrick Schläpfer bemerkt dazu:
„Diese Kampagne zeigt einmal mehr, wie schnell Angreifer wichtige, relevante und interessante aktuelle Ereignisse nutzen, um effektive Köder zu kreieren. Prominente Ankündigungen und Ereignisse sind immer wieder interessante Themen für Bedrohungsakteure, die sie zur Verbreitung von Malware ausnutzen können.“
Auch wenn die windows-upgraded[.]com-Site nicht mehr verfügbar ist, wird es für die Täter einfach sein, die Masche erneut bei einer anderen Domain zu versuchen, mit einem ganz ähnlichen Köder. Tatsächlich stellte Schläpfer fest, dass die gleichen Akteure bereits im Dezember hinter einer sehr ähnlichen Kampagne gestanden haben könnten. Bei der verwendeten sie eine gefälschte Discord-Installationsseite gleichfalls zur Verbreitung von RedLine.
Was bietet Schutz vor Malware-Angriff?
Um sich vor RedLine und anderen Arten von Malware zu schützen, sollte man die URL (Webadresse) jeder Website genau überprüfen, von der man Software herunterladen möchte. Eine zufällige Website, die nicht „microsoft.com“ im Domainnamen hat, aber trotzdem Windows-Installationen anbietet, ist wahrscheinlich nicht seriös. Anstatt sich bei ominösen Download-Links per Mail oder in Foren zu bedienen, sollte man die offiziellen Herstellerwebseiten aufsuchen. Dazu rät das HP-Team.
Tarnkappe.info
