更多全球网络安全资讯尽在邑安全
威胁参与者已开始向 Windows 10 用户分发虚假的 Windows 11 升级安装程序,诱使他们下载和执行 RedLine 窃取恶意软件。
攻击的时机恰逢微软宣布 Windows 11 的广泛部署阶段,因此攻击者已经为这一举动做好了充分的准备,并等待适当的时机来最大化他们的操作成功。
RedLine 窃取程序是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,因此其感染可能会对受害者造成可怕的后果。
竞选活动
据发现此活动的 HP 研究人员称,攻击者使用看似合法的“windows-upgraded.com”域来进行其活动的恶意软件分发部分。
该站点看起来像一个真正的 Microsoft 站点,如果访问者单击“立即下载”按钮,他们会收到一个 1.5 MB 的 ZIP 存档,名为“Windows11InstallationAssistant.zip”,直接从 Discord CDN 获取。
解压缩文件会生成一个大小为 753MB 的文件夹,显示出令人印象深刻的 99.8% 的压缩率,这要归功于可执行文件中存在填充。
当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。
接下来,启动一个 cmd.exe 进程,超时时间为 21 秒,超时后,从远程 Web 服务器获取一个 .jpg 文件。
该文件包含一个 DLL,其内容以相反的形式排列,可能是为了逃避检测和分析。
最后,初始进程加载 DLL 并用它替换当前线程上下文。该 DLL 是一个 RedLine 窃取器有效负载,它通过 TCP 连接到命令和控制服务器,以获取有关它必须在新受感染的系统上接下来运行哪些恶意任务的指令。
外表
尽管分发站点现在已关闭,但没有什么能阻止参与者设置新域并重新启动他们的活动。事实上,这很可能已经在野外发生了。
Windows 11 是一个重大升级,许多 Windows 10 用户由于硬件不兼容而无法从官方分发渠道获得,恶意软件运营商认为这是寻找新受害者的绝佳机会。
正如 BleepingComputer 在 1 月份报道的那样,攻击者还利用Windows 的合法更新客户端在受感染的 Windows 系统上执行恶意代码,因此惠普报告的策略在这一点上并不令人惊讶。
请记住,这些危险网站是通过论坛和社交媒体帖子或即时消息进行宣传的,因此除了官方的 Windows 升级系统警报外,不要相信任何东西。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/
推荐文章
1
2
原文始发于微信公众号(邑安全):伪造的 Windows 11 升级安装程序会感染 RedLine 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论