Moltissime persone che possiedono Windows 10 hanno deciso di attendere qualche mese prima di procedere con l'aggiornamento alla nuova versione del sistema operativo di casa Microsoft, Windows 11. Sfruttando il rinnovato interesse verso questo upgrade, un gruppo di malintenzionati ha deciso di fare in modo che ignari utenti scaricassero e installassero sul proprio sistema il malware RedLine, software malevolo responsabile del furto di password, cookie del browser, dati inerenti a carte di credito e wallet di criptovalute.
Stando a quanto riportato dai colleghi di Bleeping Computer, e scoperto dai ricercatori di HP, gli hacker hanno lanciato la campagna tramite il dominio "windows-upgraded.com", che ad una prima occhiata potrebbe apparire affidabile in quanto replica il sito web ufficiale Microsoft, invitando la potenziale vittima a cliccare sul pulsante "Download Now" per scaricare il file "Windows111InstallationAssistant.zip" da un CND Discord.
Una volta estratta la cartella compressa, delle generose dimensioni di 753MB, e lanciato l'eseguibile, partirà un processo PowerShell con un argomento codificato e, in seguito, un processo cmd.exe con un timeout di 21 secondi al termine del quale viene recuperato un file immagine .jpg da un server remoto, che non è altro che una DLL con contenuti disposti al contrario, probabilmente per fare in modo di evitare il rilevamento di eventuali antivirus. Quest'ultimo file è un payload di RedLine che si connette ad un server via TCP per ricevere comandi da eseguire sul sistema ormai infetto.
Nonostante il sito originale sia ormai inaccessibile, consigliamo di stare particolarmente attenti quando si trovano link sui forum o gruppi in generale relativi all'aggiornamento a Windows 11. Gruppi di malintenzionati non stavano attendendo altro che un periodo di upgrade di massa come questo per sfruttare la poca esperienza di alcuni utenti allo scopo di indirizzarli su siti costruiti appositamente per far scaricare, e installare, software malevolo. Prima di effettuare operazioni di questo tipo, accertatevi di essere sul sito ufficiale Microsoft.