Obwohl uns oft empfohlen wird, mit dem Herunterladen von Betriebssystem-Updates zu warten, bis die Fehler behoben sind, überwältigt uns manchmal die Aufregung. Ein bestimmter Hacker rechnete damit, dass Benutzer bei der Gelegenheit, ein neues Betriebssystem herunterzuladen, im Speichel sabberten, und veröffentlichte einen gefälschten Windows 11-Installer voller Malware.
HP entdeckt gefälschtes Installationsprogramm
Es war HP, das dies bemerkte gefälschtes Windows 11-Installationsprogramm und zur Abwechslung keine Sicherheitsfirma.
HP erklärte in einem Blogbeitrag: „Die Domain erregte unsere Aufmerksamkeit, weil sie neu registriert wurde, eine legitime Marke imitierte und eine kürzlich erfolgte Ankündigung nutzte.“
Am 26. Januar 2022 kündigte Microsoft die letzte Gruppe von PCs an, die für Windows 11 in Frage kommen. Einen Tag später fand HP den Betrüger auf einer Website mit der Domain „windows-upgraded[.]com.“
Diese Domain hatte alle Schnickschnack, die es brauchte, um seriös auszusehen – und natürlich einen „Download“-Button. Was heruntergeladen wird, ist jedoch ein Trojaner, der Ihre Passwörter oder andere Daten stehlen kann.
Malware statt Windows 11 Installer
Sie sind zwar zufrieden, nachdem Sie dieses Installationsprogramm gefunden haben, aber Sie werden es bald nicht mehr sein, wenn Ihr PC mit Malware gefüllt ist.
Nachdem Sie auf die Download-Schaltfläche geklickt haben, erhalten Sie eine 1,5 MB große ZIP-Datei mit dem Namen „Windows11InstallationAssistant“. Entpacken Sie die Datei, und es wird jetzt 753MG sein, da der Hacker dem Code „Padding“ hinzugefügt hat.
„Ein Grund, warum die Angreifer einen solchen Füllbereich eingefügt haben könnten, wodurch die Datei sehr groß wird, ist, dass Dateien dieser Größe möglicherweise nicht von einem Antiviren- und anderen Scan-Steuerelementen gescannt werden, wodurch sich die Chancen erhöhen, dass die Datei ungehindert ausgeführt und installiert werden kann Schadsoftware“, weiter erklärt HP.
Wenn Sie versuchen, Windows 11 aus dieser Datei zu installieren, wird das Malware-Paket RedLine Stealer auf Ihren PC heruntergeladen. Dies ist in unterirdischen Foren für Cyberkriminelle verfügbar und kann Passwörter und Daten stehlen, die in Ihrem Browser automatisch vervollständigt werden.
Diese Operation ähnelt einer HP, die im Dezember 2021 analysiert wurde. Der Hacker verwendete die Domain „discrodappp[.]com“ und gab sich als Discord-Installer aus. Sowohl diese Domain als auch die für das gefälschte Windows 11-Installationsprogramm verwendeten denselben Domain-Registrar, dieselben DNS-Server und dieselbe Art von Malware. Die neuere Domain ist nicht mehr online.
Um mit Warnungen einherzugehen, Updates nicht sofort herunterzuladen, sollten wir uns auch der Hacker bewusst sein, die versuchen, die Situation auszunutzen, wenn wir uns zum Download beeilen, was viel schlimmer sein könnte als fehlerhafte Software. Beim nächsten Mal wird es bestimmt mehr Hacker geben, die ähnliche, aber noch heimlichere Bemühungen planen.
