Киберпреступники создали поддельную страницу загрузки Microsoft DirectX 12 для распространения вредоносного ПО, которое крадет криптовалютные кошельки и пароли.
Несмотря на то, что на сайте есть контактная форма, политика конфиденциальности, заявление об отказе от ответственности и страница с нарушением Закона США "Об авторском праве в цифровую эпоху" (DMCA), ни сайт, ни распространяемые им программы не являются законными.
Когда пользователи нажимают кнопку «Загрузить», они перенаправляются на внешнюю страницу, где им предлагают загрузить файл. В зависимости от того, выберете ли вы 32-битную или 64-битную версию, вам будет предложен файл с именем «6080b4_DirectX-12-Down.zip» [VirusTotal] или «6083040a__Disclaimer.zip» [VirusTotal].
Общим для обоих этих файлов является то, что они содержат вредоносное ПО, которое пытается украсть файлы, пароли и криптовалютные кошельки. Во время запуска поддельного установщика DirectX 12, они незаметно загружают вредоносное ПО с удаленного сайта и запускают его.
Эта вредоносная программа представляет собой вредоносное ПО для кражи информации, которое пытается собрать файлы cookie, информацию о системе, установленных программах и даже снимок экрана текущего рабочего стола жертвы.
Все данные собираются в папку %Temp%, которую вредоносное ПО архивирует и отправляет злоумышленнику. Затем атакующие могут проанализировать данные и использовать их для других злонамеренных действий.
Поскольку Интернет продолжает оставаться диким западом, жизненно важно использовать параноидальный подход к загрузке программного обеспечения и устанавливать программное обеспечение только с надежных сайтов или сайта разработчика.