Компания HP сообщила, что злоумышленники начали распространять поддельные установщики обновлений Windows 11. Там распространяют ПО RedLine, которое крадёт пароли из браузеров.
Хакеры создали фейковый сайт и домен домен windows-upgraded.com. При нажатии кнопки «Загрузить сейчас» пользователь получает ZIP-архив размером 1,5 МБ под названием Windows11InstallationAssistant.zip. Он загружается из CDN Discord.
После распаковки получается папка размером 753 МБ. При запуске файла включается PowerShell-скрипт, который загружает с удалённого сервера файл .jpg со встроенной DLL-библиотекой. Она подменяет собой реально существующую библиотеку и перехватывает данные.
Сам сайт уже отключён, но никто не мешает хакерам использовать ту же уловку снова.
