Đánh vào sự thiếu hiểu biết của một số người, kẻ xấu đã tạo ra các trang web giả mạo nâng cấp lên Windows 11 hòng lừa người dùng tải về phần mềm độc hại có thể đánh cắp thông tin cá nhân quan trọng.
Nếu bạn đang lên kế hoạch cập nhật PC, hãy đảm bảo chỉ tải từ các đường link chính thức vì hiện tại đang có các phần mềm độc hại mới giả mạo là trình cài đặt Windows 11. Sau khi mở lên, nó sẽ lây nhiễm vào máy tính của bạn dưới dạng phần mềm độc hại có tên RedLine Stealer. Phần mềm này sẽ thu thập dữ liệu như thông tin thẻ tín dụng, mật khẩu và thậm chí cả các thông tin ví tiền điện tử.
Nhóm nghiên cứu bảo mật của HP đã chia sẻ báo cáo chi tiết về các nguy cơ bảo mật trên Windows 11 vào hôm 8/2. Các chuyên gia của HP phát hiện thấy các file độc hại đang lây nhiễm cho người dùng thông qua một trang web giả mạo trang Windows 11 chính thức của Microsoft.
Khi người dùng nhấn nút tải xuống trên trang web, một file được lưu trữ trên hệ thống chia sẻ của Discord sẽ được lưu vào PC của họ. Bản thân Discord, giống như bất kỳ ứng dụng lưu trữ nội dung nào khác, là nơi ẩn náu của nhiều phần mềm độc hại và là phương tiện tiếp tay giúp kẻ xấu cài cắm mã độc trên càng nhiều thiết bị càng tốt.
HP tiết lộ, nhóm nghiên cứu của họ lần đầu tiên nhận thấy hoạt động đăng ký tên miền windows-upgrade(.)com chỉ một ngày sau khi giai đoạn cuối cùng của bản nâng cấp Windows 11 được công bố. Lưu ý chúng tôi khuyên bạn không nên truy cập trang web vì nó có thể khiến hệ thống của bạn gặp rủi ro.
Trang web giả mạo này ra đời với mục đích lừa người dùng tưởng rằng đây là trang hỗ trợ nâng cấp lên Windows 11 nhưng thực tế nó là nơi phát tán mã độc. Khi nhấp vào trang web này, nó sẽ tải xuống một file zip có tên "Windows11InstallationAssistant.zip" vào máy tính của người dùng. Dung lượng của file chỉ có 1.5MB khi nén và nó chứa 6 file DLL, một file thực thi (.exe) và một file XML. Về cơ bản khi kích hoạt file .exe, nó sẽ tải xuống và cài đặt phần mềm độc hại RedLine Stealer vào trong máy của bạn.
Nó có thể lấy bất kỳ thông tin nào về phần mềm, phần cứng trên hệ thống máy tính. RedLine Stealer cũng có thể sao chép mọi mật khẩu lưu trữ trên các trình duyệt, dữ liệu tự động đăng nhập hoặc tự động điền, ví dụ như thẻ tín dụng. Do đó đây là một trong những loại phần mềm độc hại nguy hiểm nhất mà bạn từng gặp.
Nhóm nghiên cứu của HP tiết lộ, những vụ tấn công tương tự cũng từng xuất hiện vào tháng 12/2021. Tuy nhiên chiến dịch đó sử dụng trang web Discord giả mạo để cài các file và kiểu phần mềm độc hại tương tự. Trước rủi ro này, điều quan trọng là bạn phải nhớ truy cập vào các nguồn tải xuống chính thức và uy tín.
