Windows 11 Yükleyicisi Gibi Görünen Parola Hırsızına Dikkat!

Windows 10 kullanıcılarının, oturum bilgilerini çalan RedLine kötü amaçlı yazılımını yaymak için kullanılan sahte Windows 11 yükleyicilerine karşı dikkatli olmalarında fayda var. Zira çok karmaşık bir kötü amaçlı yazılım olmasa da parolaları ele geçirebilir.

Dolandırıcılar, kullanıcıların bilgileri çalmak için sayısız hile kullanıyor. Bu kapsamda HP, PC kullanıcılarını kötü amaçlı yazılımı yüklemeleri adına kandırmak için sahte Windows 11 yükseltme vaatleri kullanıldığını ortaya çıkardı.

Microsoft, Windows 11’e yükseltmeleri için donanım konusunda yüksek bir çıta belirlemişti. Başlangıçta buna uygun cihaz sayısı sınırlıydı, ancak kısa süre önce ortaya çıkan talebi karşılamak için çalışmaların hızlandırıldığı duyuruldu. Siber korsanlar da Microsoft’un uygun cihazlar için geniş bir dağıtım tasarladığı son aşamaya gelen bu yeni çalışmasından faydalanarak saldırı planladılar.

HP güvenlik araştırmacıları, Windows 10 kullanıcılarını sahte bir Windows 11 yükleyici indirip çalıştırmaları için kandırma umuduyla RedLine yazılımının sahte bir etki alanı kaydettirdiğini buldu. Siber saldırganlar yasal Windows 11 web sitesinin tasarımını kopyaladılar. Sahte sitede yer alan, “Şimdi İndir” düğmesine tıklamak şüpheli bir zip arşivi indirilmesine neden oluyor.

Sahte Windows 11 yükseltme sayfasının alan adı, bir Rus kayıt kuruluşu üzerine kayıtlı. Microsoft’un gerçek Windows 11 yükseltme sayfası ise bir Microsoft.com etki alanında barındırılıyor. Kötü amaçlı yazılım, web tarayıcılarından saklanan şifreleri, kredi kartı bilgileri gibi otomatik tamamlama verilerinin yanı sıra kripto para birimi dosyalarını ve cüzdanlarını çalmayı amaçlıyor.

Microsoft, Windows özellik yükseltmelerini, daha çok ‘N-minus-1’ yükseltmeleri için Salı Yaması gibi yapmak da dahil olmak üzere kolaylaştırıyor. Buna karşılık suçlular, yalnızca 1,5 MB veriden oluşan bir dakikalık sıkıştırılmış kötü amaçlı yükleyici ile gerçek üründen çok daha iyi performans gösterdiler. Sıkıştırmayı açtıktan sonra, klasör boyutu 753 MB olması HP’nin kötü amaçlı yazılım analistini etkileyen bir başarıydı.

HP’nin Wolf güvenlik ekibinin kötü amaçlı yazılım analisti Patrick Schläpfer, “Zip dosyasının sıkıştırılmış boyutu yalnızca 1,5 MB’dı. Bu %99,8’lik etkileyici bir sıkıştırma oranına sahip olduğu anlamına geliyordu. Bu, yürütülebilir dosyalar için ortalama %47’lik zip sıkıştırma oranından çok daha büyük. Bu kadar yüksek bir sıkıştırma oranı elde etmek için, yürütülebilir dosya muhtemelen son derece sıkıştırılabilir dolgu içeriyor” dedi.