2022年年初，微软官方一再发布消息催促用户及时更新Windows 11系统，并表示Windows 11 系统的推广部署工作已经进入尾声。微软此前曾承诺在2022年年中完成Windows 11的推广工作，现在看来，该公司很有可能与这一最初的时间表保持一致。而一旦错过了这个推广期，后续用户很有可能无法继续享受免费更新Windows 11系统的服务。

而就在Windows 11系统广泛部署阶段，RedLine恶意软件团伙已经悄悄盯上了这波更新，已经做好了充足的攻击前准备。攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序，并开始大规模地向Windows 10用户分发虚假升级程序，诱使他们下载和执行 RedLine 恶意软件。

RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序，一旦感染可能会对受害者造成严重的后果。

HP安全研究人员发现了这一攻击活动，攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的 Microsoft 站点，如果访问者单击“立即下载”按钮，他们会收到一个 1.5 MB 的 ZIP 存档，名为“Windows11InstallationAssistant.zip”，直接从 Discord CDN 获取。如下图所示。

用于恶意软件分发的虚假网站 (HP)

随后，解压缩文件会生成一个大小为 753MB 的文件夹，其高达99.8%的压缩率令安全研究人员印象深刻，这主要归功于可执行文件中字节的填充。

而当受害者启动文件夹中的可执行文件时，一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程，在经过约21秒的超时时间后，它会从远程 Web 服务器获取一个 .jpg 文件。

该文件包含一个DLL，其内容以相反的形式排列，其目的或许是为了逃避检测和分析。最后，初始进程加载 DLL 并用它替换当前线程上下文。实际上，该DLL是一个 RedLine 窃取器有效负载，它通过TCP 连接到命令和控制服务器，这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。

截止到目前，安全研究人员发现的这个分发站点已经被关闭，但是却无法阻止攻击者设置新的分发站点，并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上，这样的情形已经在不断发生。

因此，用户在更新Windows 11系统时一定要选择官方渠道，如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得，那么在进行更新时应尽量提高警惕，避免陷入攻击者预设好的陷进之中。

参考来源：https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/