Kẻ tấn công tạo trang giả mạo Windows 11, chỉ cần click một lần là bị nhiễm ngay mã độc.

Kẻ tấn công giả mạo trang tải Windows 11 để phát tán mã độc.

Kẻ tấn công lừa dối người dùng ngây thơ tải Windows 11 giả mạo chứa mã độc để đánh cắp dữ liệu trình duyệt và ví tiền điện tử.

Trong chiến dịch lừa đảo này, hacker tạo trang web bắt chước quảng cáo Windows 11 của Microsoft, sau đó sử dụng các chiêu trò SEO để đưa trang giả mạo lên top kết quả tìm kiếm Google.

Trang web giả có logo và biểu tượng giống hệt trang chính thức của Microsoft, với nút 'Download Now' hấp dẫn. Khi nhấn nút tải xuống, người dùng sẽ tải về một tệp ISO chứa phần mềm đánh cắp thông tin bên trong. Hacker cũng thiết kế để người dùng chỉ có thể tải file trực tiếp, không thể sử dụng qua TOR hay VPN.

Phần mềm độc hại này đã được các nhà nghiên cứu về mối đe dọa an ninh mạng tại CloudSEK phân tích một cách chi tiết.

Theo CloudSEK, kẻ tấn công đứng đằng sau chiến dịch này đang sử dụng một loại phần mềm độc hại mới. Các nhà nghiên cứu đã đặt cho nó cái tên là 'Inno Stealer' do nó sử dụng trình cài đặt Inno Setup Windows.

Các nhà nghiên cứu cho biết rằng Inno Stealer không chứa bất kỳ dòng code nào giống với phần mềm độc hại mà các nhóm hacker đang sử dụng để đánh cắp thông tin. Ngoài ra, chưa có bằng chứng nào về việc Inno Stealer được tải lên nền tảng quét Virus Total.

Tệp cài đặt (được lập trình bằng Delphi) là tệp thực thi 'Windows 11 setup' trong file ISO. Khi chạy, tệp này sẽ tạo ra một tệp tạm thời có tên là is-PN131.tmp và tạo thêm một tệp .TMP khác trong đó trình cài đặt ghi lại 3.078KB dữ liệu.

Người dùng nên làm gì?

Đây không phải là lần đầu tiên kẻ tấn công lợi dụng nhu cầu tải về và cài đặt Windows 11 để phát tán mã độc. Bạn nên tránh tải các tệp ISO từ các nguồn không đáng tin cậy và tốt nhất là nâng cấp lên Windows 11 từ menu Cài đặt của Windows 10.

(Tham khảo QTM)