2022年初,微软官方多次发文敦促用户及时更新Windows11系统,并表示Windows11系统的推广部署已经告一段落。微软此前曾承诺到2022年年中完成Windows11的推出,现在看来该公司很可能会遵守最初的时间表。而一旦错过这个促销期,后续用户可能无法继续享受Windows11系统的免费更新服务。而就在Windows11系统大范围部署的阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,并在出击前做好了充足的准备。攻击者首先创建了一个伪造的、非常相似的Windows11升级安装程序,并开始向Windows10用户大规模分发伪造的升级程序,诱使他们下载并执行RedLine恶意软件。RedLine恶意软件是目前部署最广泛的密码、浏览器cookie、信用卡和加密货币钱包信息抓取程序,感染会对受害者造成严重后果。惠普安全研究人员发现了该活动,其中攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的Microsoft站点,如果访问者单击“立即下载”按钮,他们将收到一个1.5MB的ZIP存档,称为“Windows11InstallationAssistant.zip”,直接从DiscordCDN获取。如下所示。用于恶意软件分发的虚假网站(HP)随后对该文件进行解压,生成了一个753MB的文件夹,其99.8%的压缩率给安全研究人员留下了深刻印象,这在很大程度上要归功于填充字节。相反,当受害者启动文件夹中的可执行文件时,会启动一个带有编码参数的PowerShell进程。它还会启动一个cmd.exe进程,该进程会在大约21秒的超时后从远程Web服务器获取一个.jpg文件。该文件包含一个DLL,其内容是反向排列的,大概是为了逃避检测和分析。最后,初始进程加载DLL并用它替换当前线程上下文。实际上,DLL是一个RedLine窃取器有效载荷,它通过TCP连接到命令和控制服务器,以便它可以获取下一步在新感染的系统上运行所需的恶意指令。到目前为止,安全研究人员确定的分发站点已经关闭,但这并没有阻止攻击者建立新的分发站点并重新打开新一轮的假冒Windows11升级安装程序。事实上,这种情况一直在不断发生。因此,用户在更新Windows11系统时一定要选择官方渠道。如果Windows10用户因硬件不兼容而无法从官方分发渠道获取,那么在更新时应尽量提高警惕,以免落入攻击者预设的陷阱。进去。参考来源:https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/
