Analistas de segurança da HP identificaram um novo golpe que coloca em risco usuários do mais novo sistema operacional da Microsoft. Segundo as informações disponibilizadas pelos especialistas, uma atualização falsa do Windows 11 estaria infectando diversos dispositivos com um malware capaz de roubar senhas e informações de usuários.
Chamado RedLine, o malware é conhecido por roubar informações sensíveis dos utilizadores, como senhas, e-mails, dados bancários, cartões de crédito e carteiras de criptomoedas. O seu uso atrelado a golpes com updates do Windows 11 foi identificado pela primeira vez no dia 27 de janeiro, data em que a Microsoft lançou uma grande atualização para o sistema operacional.
Como funciona
Para enganar os utilizadores, os criminosos criaram um falso site com o domínio “windows-upgraded.com”. Ao acessar o endereço, os usuários viam uma página muito semelhante ao site oficial da Microsoft. Nele, o botão “Download Now” convidava os visitantes a baixarem um suposto Assistente de Instalação do Windows 11. Ao clicar, um arquivo com o nome “Windows11InstallationAssistant.zip” e 1,5MB de tamanho era baixado para o computador.
Ao descompactá-lo, uma pasta com cerca de 700 MB e um executável em seu interior era disponibilizado para o usuário. Ao clicar, um processo de PowerShell era inicializado, seguido por um processo da ferramenta de linha de comando cmd.exe. Em seguida, um arquivo com extensão .jpg surgia no dispositivo. Nele, se escondia um arquivo DLL modificado para dificultar sua detecção por softwares de segurança. Após inicializado, o arquivo DLL, que na verdade era o malware RedLine, se conectava a um servidor de comando e controle para receber novas instruções dos criminosos responsáveis pelo ataque.
Malware familiar
Apesar da nova tática utilizada pelos criminosos, o RedLine já existe há um bom tempo. Muito comercializado em fóruns e comunidades online, o malware possui um método de funcionamento que dificulta o trabalho de softwares de segurança. Por possuir um armazenamento de conteúdos de ordem reversa, a leitura dos arquivos DLL se torna quase que impossível por parte dos antivírus.
Os especialistas afirmam que o domínio foi registrado por uma pessoa situada em Moscou. A boa notícia é que ele já não se encontra mais disponível, tendo sido desativado logo após o surgimento das primeiras denúncias. No entanto, outros sites parecidos podem surgir, sendo preciso ficar atento para não cair em golpes que possam trazer prejuízos e dor de cabeça.
Dessa forma, o indicado é que a atualização do Windows seja feita sempre diretamente pelo Windows Update ou através do site oficial da Microsoft. É importante também evitar links desconhecidos compartilhados por aplicativos, como WhatsApp e Discord.
Veja também:
Não sabe muito bem o que fazer para evitar ter dados vazados na internet? Confira algumas dicas para se proteger de criminosos que aplicam golpes na internet.
Fonte: PCWorld.
Descubra mais sobre Showmetech
Assine para receber nossas notícias mais recentes por e-mail.