Em dezembro do ano passado, a Microsoft deixou dar suportar ao Windows 10 versão 2004, conhecido como Windows 20H1. Para continuar contando com o suporte da empresa e também receber atualizações, os usuários deveriam ter atualizado seus sistemas para a versão 21H1 ou Windows 11. Neste contexto, em outubro de 2021 a Microsoft já estava expandindo o número de computadores que poderiam suportar o Windows 11, a fim de incentivar a atualização do sistema operacional para sua versão mais recente. Como já era esperado, este cenário atraiu o interesse de alguns cibercriminosos que começaram a lançar campanhas para distribuir malware e, dessa forma, tirar vantagem dessa situação.

Durante a semana passada, pesquisadores da HP publicaram detalhes de uma campanha de engenharia social destinada a enganar os usuários com um falso instalador do Windows 11. Usando um domínio falso registrado como windows-upgraded[.]com (que já não está mais funcionando) que tinha um layout similar ao site oficial da Microsoft para o Windows 11, os cibercriminosos ofereciam às vítimas a possibilidade de baixar um instalador falso chamado "Windows11InstallationAssistant.zip", que por sua vez estava hospedado no Discord.

Uma vez que o arquivo ZIP era baixado e descompactado, a vítima se deparava com um executável sob o nome de Windows11InstallationAssistant.exe. A execução do arquivo acionava um processo PowerShell que resulta na execução do cmd.exe e, em seguida, o processo baixa um arquivo chamado win11.jpg de um servidor remoto, que contém uma DLL com o payload do RedLine Stealer.

Este malware é uma das ameaças mais comumente usadas para roubar dados de acesso para que sejam  vendidas na dark web. Além de ser capaz de roubar credenciais armazenadas no navegador web, o RedLine Stealer tem a capacidade de obter informações armazenadas pela função de preenchimento automático, tais como detalhes de cartão de crédito, informações sobre aplicativos de e-mail, VPNs, carteiras de criptomoedas, etc. Uma vez que o malware coleta essas informações, ele se conecta via TCP a um servidor de comando e controle (C&C) para enviar as informações ou receber instruções adicionais dos operadores.

Vale lembrar que este mesmo malware foi usado em uma campanha distribuída através de links na descrição de vídeos do YouTube e que foi reportada em outubro do ano passado.

Descamos que é fundamental sempre baixar softwares por meio de sites oficiais e verificar se o download está sendo feito a partir do site legítimo e não de um site com aparência semelhante.