Redline Stealer
Als Windows 11 Upgrade getarnt: Cyberkriminelle verteilten Malware
Sicherheitsexperten von HP haben Cyberkriminelle ausgemacht, die den Daten stehlenden Schädling Redline Stealer verteilten – getarnt als Windows 11 Update.
Cyberkriminelle nutzen erhöhte Aufmerksamkeiten rund um bedeutendere Events oder Software-Updates, um wieder einmal Schädlinge unters Volk zu bringen. „Threat Research“ von HP hat dabei geholfen, die Domain windows-upgraded.com abzuschalten. Die Betreiber haben mit einer täuschend echt wirken...
Cyberkriminelle nutzen erhöhte Aufmerksamkeiten rund um bedeutendere Events oder Software-Updates, um wieder einmal Schädlinge unters Volk zu bringen. „Threat Research“ von HP hat dabei geholfen, die Domain windows-upgraded.com abzuschalten. Die Betreiber haben mit einer täuschend echt wirkenden Webseite nach Microsofts Vorbild eine Datei zum Download angeboten, die sich als Upgrade für Windows 11 ausgab. Statt Microsofts neues Betriebssystem holte man sich so jedoch den Redline Stealer auf den Rechner.
Redline Stealer ist eine häufig eingesetzte Malware, die Daten aus dem Browser des Opfers oder dem infizierten System kapern kann. Das können gespeicherte Passwörter, Informationen von Autovervollständigungsfunktionen sein oder Kredit- und Bankkartendaten. Die Schädlings-Software wird auf Untergrundmarktplätzen zu Preisen von 100 bis 150 US-Dollar verkauft, bzw. für 100 US-Dollar monatlich vermietet.
Die genannte Domain weckte die Neugier der Sicherheitsexperten, weil sie Ende Januar erst registriert wurde. Das Design der echten Windows-11-Webseite wurde kopiert und über einen Download-Knopf wurde eine Datei namens „Windows11InstallationAssistant.zip“ angeboten. Die Untersuchung des Archivs offenbarte eine beeindruckende Kompressionsrate. Denn aus 1,5MB wurden 753MB. Die Hauptdatei – eine ausführbare .exe – bestand jedoch aus einer Menge irrelevanten Füllcode. „Threat Research“ vermutet, dass die Cyberkriminellen so Antivirenprogrammen entkommen wollten.
Untersuchungen der „relevanten“ Daten zeigten, dass nach dem Ausführen eine verschlüsselte Datei namens „win11.jpg“ heruntergeladen wird. Nach weiteren Untersuchungen stellten die Sicherheitsexperten fest, dass der genannte Redline Stealer auf den Rechner geschmuggelt werden soll. Schon im Dezember fiel eine ähnliche Malware-Kampagne auf, die das Kommunikations-Tool Discord versprach, aber ebenso Redline lieferte.
Als Fazit und Schutzmöglichkeit kommt „Threat Research“ zu dem Schluss, dass Nutzende bei offiziellen Quellen bleiben und URLs in Adresszeilen genau prüfen sollten. Es ist davon auszugehen, dass Nachahmer folgen werden - mit stets ausgefeilteren Strategien, Nutzende zu täuschen. Anstatt sich Download-Links per Mail oder in Foren aufdrängen zu lassen, sollten Sie die offiziellen Herstellerwebseiten aufsuchen, diese genau verifizieren und sich dort bedienen.
