Windows 10のユーザーに対し、偽のWindows 11アップグレードインストーラーを配布し、RedLineマルウェアを感染させるという攻撃が実施されていたことがわかりました(BleepingComputer)。
攻撃はMicrosoftがWindows 11の広範な展開を発表した時期と一致しており、攻撃者は十分な準備を行い、成果を最大化するためのタイミングを待っていたと見込まれています。RedLineマルウェアは、パスワード、ブラウザのCookie、クレジットカード、暗号通過ウォレットなどの情報を盗むもので、現在広く展開されています。
このキャンペーンを発見したHPの研究者によると、犯人はマルウェアを配布するために、一見正当に見える「windows-upgraded.com」ドメインを使用していたとのこと。サイトはMicrosoftの公式サイトのように見え、ユーザーが「今すぐダウンロード」ボタンをクリックすると、「Windows11InstallationAssistant.zip」という名前の1.5 MBのZIPアーカイブがダウンロードできたそうです。
ファイルを解凍するとフォルダサイズは753MBとなり(脅威の圧縮率)、フォルダ内の実行ファイルを起動すると、暗号化された引数を持つPowerShellプロセスが起動し、RedLineマルウェアを導入するための一連のプロセスが開始します。
現在、配信サイトは停止していますが、攻撃者が新しいドメインを取得し、キャンペーンを再開する可能性は残されています。Windows 11はハードウェアの非互換性により、多くのWindows 10ユーザーが公式の方法でアップグレードできないメジャーアップグレードであるため、攻撃者が、新たな被害者を見つける絶好の機会であると考えられています。
