freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Windows 11更新要小心了,恶意软件已经盯上它
2022-02-10 14:28:56

2022年年初,微软官方一再发布消息催促用户及时更新Windows 11系统,并表示Windows 11 系统的推广部署工作已经进入尾声。微软此前曾承诺在2022年年中完成Windows 11的推广工作,现在看来,该公司很有可能与这一最初的时间表保持一致。而一旦错过了这个推广期,后续用户很有可能无法继续享受免费更新Windows 11系统的服务。

而就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序,并开始大规模地向Windows 10用户分发虚假升级程序,诱使他们下载和执行 RedLine 恶意软件。

RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,一旦感染可能会对受害者造成严重的后果。

HP安全研究人员发现了这一攻击活动,攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的 Microsoft 站点,如果访问者单击“立即下载”按钮,他们会收到一个 1.5 MB 的 ZIP 存档,名为“Windows11InstallationAssistant.zip”,直接从 Discord CDN 获取。如下图所示。

用于恶意软件分发的虚假网站 (HP)

随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻,这主要归功于可执行文件中字节的填充。

而当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程,在经过约21秒的超时时间后,它会从远程 Web 服务器获取一个 .jpg 文件。

该文件包含一个DLL,其内容以相反的形式排列,其目的或许是为了逃避检测和分析。最后,初始进程加载 DLL 并用它替换当前线程上下文。实际上,该DLL是一个 RedLine 窃取器有效负载,它通过TCP 连接到命令和控制服务器,这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。

截止到目前,安全研究人员发现的这个分发站点已经被关闭,但是却无法阻止攻击者设置新的分发站点,并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上,这样的情形已经在不断发生。

因此,用户在更新Windows 11系统时一定要选择官方渠道,如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得,那么在进行更新时应尽量提高警惕,避免陷入攻击者预设好的陷进之中。

参考来源:https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/

本文作者:, 转载请注明来自FreeBuf.COM

# 恶意软件 # 数据安全 # 信息窃取 # Windows 11
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦