Hacker đang dụ những người dùng ngây thơ tải về Windows 11 giả mạo có chứa mã độc đánh cắp dữ liệu trình duyệt và ví tiền điện tử.
Trong chiến dịch vẫn đang hoạt động này, hacker tạo ra một trang web bắt chước trang quảng cáo Windows 11 của Microsoft. Sau đó, chúng dùng các thủ thuật SEO bẩn để đưa tran giả mạo này lên top kết quả tìm kiếm Google.
Trang web giả có logo, biểu tượng y hệt trang chính chủ của Microsoft và có nút “Download Now” đầy mời gọi. Khi nhấn nút tải xuống, người dùng sẽ nhận được một tệp ISO chứa phần mềm đánh cắp thông tin ở bên trong. Hacker cũng thiết kế để người dùng chỉ có thể tải file trực tiếp, không khả dụng qua TOR hay VPN.
Phần mềm độc hại này đã được các nhà nghiên cứu về mối đe dọa an ninh mạng tại CloudSEK phân tích khá chi tiết.
Theo CloudSEK, hacker đứng đằng sau chiến dịch này sử dụng một phần mềm độc hại mới. Các nhà nghiên cứu đặt tên cho nó là “Inno Stealer” do nó sử dụng trình cài đặt Inno Setup Windows.
Các nhà nghiên cứu nói rằng Inno Stealer không có bất cứ dòng code nào giống với phần mềm độc hại mà các nhóm hacker đánh cắp thông tin hiện tại đang dùng. Ngoài ra, chưa có bằng chứng nào về việc Inno Stealer được tải lên nền tảng quét Virus Total.
Tệp trình tải (lập trình bằng Delphi) là tệp thực thi “Windows 11 setup” có trong file ISO. Khi khởi chạy, tệp này sẽ tạo ra kết xuất tệp tạm thời có tên là is-PN131.tmp và tạo tệp .TMP khác trong đó trình tải ghi 3.078KB dữ liệu.
Người dùng nên làm gì?
Đây không phải là lần đầu tiên hacker lợi dụng nhu cầu tải về và cài đặt Windows 11 để phát tán mã độc. Bạn nên tránh tải về các tệp ISO từ nguồn không đảm bảo và tốt nhất là nâng cấp lên Windows 11 từ menu Settings của Windows 10.
(Tham khảo QTM)
