Diz um ditado popular que "a ocasião faz o ladrão". Um golpe online identificado recentemente pela HP reforça esse teoria: pesquisadores da companhia descobriram um site que, para espalhar um malware que rouba senhas, se passava por uma atualização do Windows 11 para usuários que têm o Windows 10.
Toda a ação era executada a partir de um site cujo domínio tinha as palavras "windows" e "upgraded". O endereço sugestivo e a página com design similar ao site verdadeiro da Microsoft era uma combinação que aumentava as chances de o visitante fazer exatamente o que não devia: clicar em "Download Now".
O botão levava para um arquivo de nome Windows11InstallationAssistant.zip e 1,5 MB de tamanho que, quando descompactado, resultava em uma pasta com 753 MB.
Trata-se de uma impressionante taxa de compactação de 99,8%, revela a HP, mas que tem explicação: dentro da pasta existe uma executável com tamanho de 751 MB que contém instruções para ser preenchido com dados inúteis.
Provavelmente, a finalidade disso é deixar o arquivo pesado a ponto de dificultar a sua análise por antivírus ou outras ferramentas de segurança.
O detalhe mais preocupante é que, quando clicado, o tal executável inicia um processo cmd.exe que dura 21 segundos e, após isso, baixa um arquivo JPEG que contém uma DLL.
Dentro do arquivo DLL está o RedLine, malware que tenta capturar senhas armazenadas em navegadores e outros dados, além de estabelecer um conexão TCP para transmitir as informações coletadas ou receber novas instruções.
O site foi derrubado, mas…
A boa notícia é que o falso site de download do Windows 11 foi derrubado. A má é que há boas chances de que outras páginas que usam a mesma abordagem tenham sido criadas.
Por isso, todo cuidado é pouco. Sites falsos como esse costumam ser divulgados em campanhas nas redes sociais, serviços de mensagens instantâneas e spam via email, por exemplo. Logo, a recomendação não poderia ser outra: para baixar o Windows 11, acesse diretamente o site da Microsoft; para atualizações do sistema, recorra ao Windows Update.