伊莉討論區

標題: 偽造的 Windows 11 升級安裝程序會感染 RedLine 惡意軟件[Bleepingcomputer][2022-02-09] [打印本頁]

作者: 飛行人3 時間: 2022-2-15 01:59 AM 標題: 偽造的 Windows 11 升級安裝程序會感染 RedLine 惡意軟件[Bleepingcomputer][2022-02-09]

威脅參與者已開始向 Windows 10 用戶分發虛假的 Windows 11 升級安裝程序，誘使他們下載和執行 RedLine 竊取惡意軟件。

攻擊的時機恰逢微軟宣布 Windows 11 的廣泛部署階段，因此攻擊者為這一舉動做好了充分的準備，並等待適當的時機來最大化他們的操作成功。

RedLine 竊取程序是目前部署最廣泛的密碼、瀏覽器 cookie、信用卡和加密貨幣錢包信息抓取程序，因此其感染可能會對受害者造成可怕的後果。

據發現該活動的惠普研究人員稱，攻擊者使用看似合法的“windows-upgraded.com”域來進行活動的惡意軟件分發部分。

該站點看起來像一個真正的 Microsoft 站點，如果訪問者單擊“立即下載”按鈕，他們會收到一個 1.5 MB 的 ZIP 存檔，名為“Windows11InstallationAssistant.zip”，直接從 Discord CDN 獲取。
解壓縮文件會生成一個大小為 753MB 的文件夾，顯示出令人印象深刻的 99.8% 的壓縮率，這要歸功於可執行文件中存在填充。當受害者啟動文件夾中的可執行文件時，一個帶有編碼參數的 PowerShell 進程就會啟動。

接下來，啟動一個 cmd.exe 進程，超時時間為 21 秒，超時後，從遠程 Web 服務器獲取一個 .jpg 文件。

該文件包含一個 DLL，其內容以相反的形式排列，可能是為了逃避檢測和分析。

最後，初始進程加載 DLL 並用它替換當前線程上下文。該 DLL 是一個 RedLine 竊取器有效負載，它通過 TCP 連接到命令和控制服務器，以獲取有關它必須在新受感染的系統上接下來運行哪些惡意任務的指令。

儘管分發站點現在已關閉，但沒有什麼能阻止參與者設置新域並重新開始他們的活動。事實上，這很可能已經在野外發生了。

Windows 11 是一個重大升級，許多 Windows 10 用戶由於硬件不兼容而無法從官方分發渠道獲得，惡意軟件運營商認為這是尋找新受害者的絕佳機會。

正如 BleepingComputer 在 1 月份報導的那樣，攻擊者還利用 Windows 的合法更新客戶端在受感染的 Windows 系統上執行惡意代碼，因此惠普報告的策略在這一點上並不令人驚訝。

請記住，這些危險網站是通過論壇和社交媒體帖子或即時消息進行宣傳的，因此除了官方的 Windows 升級系統警報外，不要相信任何東西。

這針對的是普通用戶，他們並不是那麼以安全為導向的。損害可能非常嚴重

作者: zogol 時間: 2022-2-15 09:23 AM

平常要做好備份，不然出事都救不回來的。

歡迎光臨伊莉討論區 (http://a401.file-static.com/)