Em diversas ocasiões, quando um produto é muito popular na internet, ele pode se tornar isca para um golpe, e é exatamente o que está acontecendo com o Windows 11, a mais nova versão do sistema operacional da Microsoft para computadores.
Alguns pesquisadores de segurança da HP descobriram o golpe e já começaram a alertar os usuários sobre os perigos. Segundo eles, existe um site que parece ser verdadeiro porém é falso e traz um malware disfarçado de atualização para o Windows 11.
Leia também:
Atenção: Golpistas estão usando domínio @gov.br em golpes de phishing
FBI revela golpe usando QR Code falso. Saiba como se proteger
Site falso tem endereço parecido com o verdadeiro do Windows 11
O malware já é conhecido como RedLine e já foi usado em outros golpes antes, já que permite que os criminosos possam roubar informações importantes do dispositivo como login e senha de sites e instituições.
O Windows 11 foi lançado em outubro do ano passado e, desde então, pode ser obtido de forma gratuita como uma atualização para quem tem o Windows 10 e um computador que é compatível com os pré-requisitos da nova versão do sistema.
Essa atualização pode ser feita através do Windows Update no computador ou até mesmo no site oficial da Microsoft que pode ser acessado clicando aqui.
O que está acontecendo é que alguns criminosos estão utilizando um site falso que parece muito com o endereço do verdadeiro para quem procura pela atualização na internet. As pessoas, sem se dar conta de que o site não é oficial da Microsoft, acabam se tornando vítimas.
Como acontece a instalação do malware
O site falso tem o domínio windows-upgraded.com e utiliza a oferta do Windows 11 de forma gratuita como uma isca para os interessados na atualização. Quando a vítima acessa esse site, ele tem acesso a uma página inicial que é muito parecida com a da Microsoft, o que induz ao erro de acreditar que é verdadeiro.
Também é possível ver o botão Download Now, que seria supostamente o instalador do Windows 11 e é onde mora o perigo. Quando o usuário clica no botão, ele começa a baixar um arquivo de nome “windows11InstallationAssistant.zip” que eles acreditam ser o assistente de instalação. O arquivo tem 1,5 MB de tamanho e na verdade é o responsável por instalar o malware na máquina.
Ao descompactá-lo ele dá origem a uma pasta de 735 MB. Dentro dela está o executável que, quando clicado, inicia um processo do PowerShell seguido por um processo de ferramenta de linha de comando cmd.exe.
Quando o segundo processo é finalizado, com cerca de 20 segundos, ele salva um arquivo .jpg no computador do usuário. É dentro desse arquivo que existe um arquivo DLL modificado com o intuito de prevenir a sua detecção por softwares de segurança como antivírus.
O arquivo DLL é o próprio malware, que após ser carregado, promove uma conexão entre um servidor de comando e controle e daí fica nas mãos dos criminosos, que lançam instruções de como realizar os ataques.
Para evitar cair nesse golpe e qualquer outro parecido, o indicado é que a atualização do Windows seja feita sempre diretamente pelo Windows Update ou através do site oficial da Microsoft. Por isso, evite sempre links de direcionamento compartilhados principalmente em mensageiros como Discord ou WhatsApp.
Os pesquisadores de segurança da HP fizeram um post com a análise técnica do malware. Confira aqui.