Überraschend guter Fake der Microsoft-Seite lockt Nutzer in die Falle

Eine kriminelle Gruppe hat es geschafft, eine täuschend echt wirkende Kopie der Microsoft-Webseite unter einer offiziell wirkenden Domain bereitzustellen. Statt nützlicher Software bekam man hier allerdings eine Malware untergejubelt. Es gab vor einiger Zeit schon einmal eine regelrechte Welle an gefälschten Windows 11-Installern, mit denen Nutzern Schadcode untergejubelt wurde. Dies war aber noch vor dem offiziellen Release des neuen Betriebssystems, als dieses eigentlich nur Mitgliedern des Insider-Programms angeboten wurden. Auf diesem Weg versuchten die Kriminellen das Interesse einiger User auszunutzen, die sich dort nicht registriert hatten. Nach dem Windows 11-Start war allerdings weitgehend Ruhe.

Das ändert sich nun aber ein wenig. Auf die fragliche Webseite wurden die Sicherheitsexperten des HP Threat Research Teams aufmerksam. Während Fake-Seiten in vielen Fällen zumindest auf den zweiten Blick aufgrund von Rechtschreibfehlern oder sonstigen groben Schnitzern leicht zu erkennen sind, war dies hier nicht der Fall. Hinzu kam, dass die Seite unter der Domain "windows-upgraded.com" gehostet wurde, was auch nach einer durchaus glaubwürdigen Adresse aussieht. Auf Betreiben der Sicherheitsforscher ist sie inzwischen abgeschaltet worden. Täuschend echt wirkende Fake-Webseite

Trojaner an Bord

Über den Download-Button der Webseite wurde ein 1,5 Megabyte großes ZIP-Archiv mit der Bezeichnung "Windows11InstallationAssistant" heruntergeladen. Durchaus beeindruckt zeigten sich die Sicherheitsforscher von dessen enormer Kompressions-Rate - denn entpackt mündete das Ganze in einem Ordner mit einer Größe von 753 Megabyte.

Eine genauere Analyse des Inhalts zeigte dann, dass die Aufgabe des Downloads darin bestand, eine Malware namens RedLine auf den Rechner des Nutzers zu transportieren. Dabei handelt es sich um einen Trojaner, der darauf spezialisiert ist, sensible Informationen wie Passwörter vom Rechner eines Nutzers zu stehlen.

Siehe auch: