Киберпреступники создали поддельную страницу загрузки Microsoft DirectX 12 для распространения вредоносного ПО, которое крадет криптовалютные кошельки и пароли.

Несмотря на то, что на сайте есть контактная форма, политика конфиденциальности, заявление об отказе от ответственности и страница с нарушением Закона США "Об авторском праве в цифровую эпоху" (DMCA), ни сайт, ни распространяемые им программы не являются законными.

Поддельная страница загрузки Microsoft DirectX 12

 

Когда пользователи нажимают кнопку «Загрузить», они перенаправляются на внешнюю страницу, где им предлагают загрузить файл. В зависимости от того, выберете ли вы 32-битную или 64-битную версию, вам будет предложен файл с именем «6080b4_DirectX-12-Down.zip» [VirusTotal] или «6083040a__Disclaimer.zip» [VirusTotal].

Общим для обоих этих файлов является то, что они содержат вредоносное ПО, которое пытается украсть файлы, пароли и криптовалютные кошельки. Во время запуска поддельного установщика DirectX 12, они незаметно загружают вредоносное ПО с удаленного сайта и запускают его.

Эта вредоносная программа представляет собой вредоносное ПО для кражи информации, которое пытается собрать файлы cookie, информацию о системе, установленных программах и даже снимок экрана текущего рабочего стола жертвы.

Сбор данных с зараженного компьютера

 

Все данные собираются в папку %Temp%, которую вредоносное ПО архивирует и отправляет злоумышленнику. Затем атакующие могут проанализировать данные и использовать их для других злонамеренных действий.

Поскольку Интернет продолжает оставаться диким западом, жизненно важно использовать параноидальный подход к загрузке программного обеспечения и устанавливать программное обеспечение только с надежных сайтов или сайта разработчика.