Windows 11更新要小心了,恶意软件已经盯上它

安全
就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。

2022年年初,微软官方一再发布消息催促用户及时更新Windows 11系统,并表示Windows 11 系统的推广部署工作已经进入尾声。微软此前曾承诺在2022年年中完成Windows 11的推广工作,现在看来,该公司很有可能与这一最初的时间表保持一致。而一旦错过了这个推广期,后续用户很有可能无法继续享受免费更新Windows 11系统的服务。

而就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序,并开始大规模地向Windows 10用户分发虚假升级程序,诱使他们下载和执行 RedLine 恶意软件。

RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,一旦感染可能会对受害者造成严重的后果。

HP安全研究人员发现了这一攻击活动,攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的 Microsoft 站点,如果访问者单击“立即下载”按钮,他们会收到一个 1.5 MB 的 ZIP 存档,名为“Windows11InstallationAssistant.zip”,直接从 Discord CDN 获取。如下图所示。

用于恶意软件分发的虚假网站 (HP)

随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻,这主要归功于可执行文件中字节的填充。

而当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程,在经过约21秒的超时时间后,它会从远程 Web 服务器获取一个 .jpg 文件。

该文件包含一个DLL,其内容以相反的形式排列,其目的或许是为了逃避检测和分析。最后,初始进程加载 DLL 并用它替换当前线程上下文。实际上,该DLL是一个 RedLine 窃取器有效负载,它通过TCP 连接到命令和控制服务器,这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。

截止到目前,安全研究人员发现的这个分发站点已经被关闭,但是却无法阻止攻击者设置新的分发站点,并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上,这样的情形已经在不断发生。

因此,用户在更新Windows 11系统时一定要选择官方渠道,如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得,那么在进行更新时应尽量提高警惕,避免陷入攻击者预设好的陷进之中。

参考来源:https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-11-12 05:41:59

Android恶意软件网络攻击

2013-11-20 14:59:00

Cryptolocke勒索软件恶意程序

2018-09-26 07:33:31

2021-12-07 14:21:18

恶意程序恶意软件网络攻击

2020-03-31 10:49:00

黑客Zoom恶意软件

2021-10-31 14:54:13

恶意软件PixStealer黑客

2024-06-24 13:39:48

2021-12-06 20:00:16

Windows 11操作系统微软

2011-05-26 13:07:17

2021-06-10 10:43:13

Necro恶意软件漏洞

2022-01-10 06:43:17

iPhone 恶意软件苹果

2021-12-08 00:03:40

WindowsKMSPico工具

2009-04-11 21:41:00

2024-06-13 17:39:27

2021-12-07 18:39:19

黑客虚假广告恶意软件

2012-05-14 16:18:08

2013-09-03 10:18:16

虚拟网络VMware思科

2010-04-22 10:13:46

Google英特尔

2018-03-22 14:53:27

MacBook笔记本苹果

2022-03-29 10:03:41

微软Windows 11
点赞
收藏

51CTO技术栈公众号