کاربران ویندوز ۱۰ باید مراقب نصب‌گرهای تقلبی ویندوز ۱۱ باشند که در حال گسترش هستند تا یک بدافزار رمز دزد را نصب کنند.

با این‌که بدافزار RedLine یک بدافزار پیچیده غیرمعمول محسوب نمی‌شود اما می‌تواند گذرواژه‌ها را بدزدد و به شکل خدمات اینترنتی به قیمت ۱۵۰ دلار در ماه به فروش برساند تا افراد ذی‌نفع بتوانند رمزهای رمز ارزها رو به سرقت ببرند.

کلاهبرداران از حقه‌های مختلف استفاده می‌کنند تا از کسانی که آگاهی کافی ندارند، سوء استفاده کرده و آن‌ها را با نصب این بدافزار فریب دهند. آن‌ها این امر را با ایجاد فایل‌های قلابی نصب‌کننده ویندوز ۱۱ انجام داده تا کاربران ویندوز ۱۰ را فریب بخورند.

شرکت مایکروسافت میزان سخت‌افزار مورد نیاز برای اجرای ویندوز ۱۱ را بسیار سخت‌گیرانه در نظر گرفته که نیازمند یک پردازنده بسیار جدید است. در اوایل کار، دستگاه‌های کمی می‌توانستند از ویندوز ۱۱ پشتیبانی کنند اما پس از میزان تقاضای بالای کاربران ،‌مایکروسافت تصمیم گرفت که دستگاه‌های بیشتری را با سرعت بالاتری پوشش دهد.

در خصوص این بدافزار، نفوذگران تلاش کردند تا از اعلامیه ۲۶ ژانویه مایکروسافت بهره‌برداری کرده و دامنه حاوی بدافزار را روز پس از اعلامیه راه اندازی کردند.

یافته‌های مهم درباره بدافزار Redline

محققان امنیتی HP یافتند که افراد پشت‌صحنه بدافزار RedLine یک دامنه قلابی را ثبت کرده‌اند با این امید که کاربران ویندوز ۱۰ را فریب به بارگیری و نصب نصب‌کننده قلابی ویندوز ۱۱ کنند. این مهاجمین، طرح وبسایت قانونی ویندوز ۱۱ را جعل کردند و تنها تفاوت بارز این است که کلیک روی دکمه بارگیری به جای بارگیری نصب‌کننده قانونی، یک فایل زیپ مشکوک را بارگیری می‌کند.

بنا بر گفته یک محقق امنیتی برجسته HP «این نام دامنه توجه ما را جلب کرد زیرا که به تازگی ثبت شده بود و یک برند قانونی را جعل کرده و از یک اعلامیه جدید بهره برداری می‌کرد. مهاجمین اصلی، از این دامنه برای گسترش بدافزار RedLine استفاده می‌کنند، بدافزاری که یک رمزدزد است و در محافل زیرزمینی بسیار محبوبیت دارد.

دامنه مرتبط با این بدافزار در یک بنگاه روسی ثبت شده است اما صفحه قانونی بارگیری ویندوز ۱۱ در دامنه Microsoft.com قرار دارد. این بدافزار تلاش می‌کند تا رمزهای عبور ذخیره‌شده در مرورگرها یا اطلاعات ثبت‌شده خودکار، شماره کارت‌های بانکی یا کیف پول‌های رمزارز را به سرقت ببرد.

درحالی‌که مایکروسافت در حال اصلاح و منظم‌تر کردن روند ارتقاهای ویندوز بوده است (مانند کوچک‌کردن حجم به‌روزرسانی‌ها)، مجرمین در این مورد کاملاً دست مایکروسافت را از پشت بسته و یک نصب‌کننده کوچک ۱ مگابایی ایجاد کردند که پس از استخراج تبدیل به یک پرونده عظیم ۷۵۳ مگابایتی می‌شود و این امر موجب حیرت محققان HP شده است.

همان محقق می‌گوید‌: «از آنجا که اندازه فشرده‌شده پرونده زیپ تنها یک مگابایت بوده است این به معنای آن است که یک نرخ فشرده‌سازی عالی به مقدار ۹۹.۸٪ دارد.  این نرخ از میانگین نرخ فشرده‌سازی فایل‌های اجرایی که ۴۷٪باشد بیشتر است. احتمالاً برای اینکه به چنین نرخ چشمگیری دست پیدا کنند پرونده اصلی اجرایی حاوی فضاهای خالی باشد. »

او همچنین یادآور شد که استفاده از یک کد بایت 0x30 در قسمت فیلتر فایل تنها برای مخفی ماندن از چشم ضدویروس‌هاست.

او افزود: «یکی از دلایلی که مهاجمین چنین فضای فیلتری را به وجود آورده‌اند (و در نتیجه فایل را بسیار بزرگ کرده‌اند) این است که فایل‌های با این حجم ممکن است به وسیله ضد ویروس‌ها و دیگر ابزارهای امنیتی اسکن نشوند و در نتیجه باعث موفق‌بودن بدافزار در اجرا و آلوده‌کردن سیستم شوند.»

این حقه ویندوز یازدهی یکی از روش‌های عادی مهاجمین RedLine محسوب می‌شود. آن‌ها یک بدافزار ساده اما مخرب ساخته‌اند که افراد غیر فنی نیز می‌توانند استفاده کنند. در ماه دسامبر همین بدافزار از محبوبیت برند دیسکورد Discord برای گسترش خود استفاده می‌کرد.

محققین HP یادآور شدند: «از آنجا که چنین پویش‌هایی معمولاً متکی بر بارگیری کاربران ناآگاه است، سازمان‌ها می‌توانند از چنین آلودگی‌هایی ،با بارگیری نرم‌افزار تنها از روش‌های قانونی و مطمئن ، جلوگیری کنند.»