官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2022年年初,微软官方一再发布消息催促用户及时更新Windows 11系统,并表示Windows 11 系统的推广部署工作已经进入尾声。微软此前曾承诺在2022年年中完成Windows 11的推广工作,现在看来,该公司很有可能与这一最初的时间表保持一致。而一旦错过了这个推广期,后续用户很有可能无法继续享受免费更新Windows 11系统的服务。
而就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序,并开始大规模地向Windows 10用户分发虚假升级程序,诱使他们下载和执行 RedLine 恶意软件。
RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,一旦感染可能会对受害者造成严重的后果。
HP安全研究人员发现了这一攻击活动,攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的 Microsoft 站点,如果访问者单击“立即下载”按钮,他们会收到一个 1.5 MB 的 ZIP 存档,名为“Windows11InstallationAssistant.zip”,直接从 Discord CDN 获取。如下图所示。
用于恶意软件分发的虚假网站 (HP)
随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻,这主要归功于可执行文件中字节的填充。
而当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程,在经过约21秒的超时时间后,它会从远程 Web 服务器获取一个 .jpg 文件。
该文件包含一个DLL,其内容以相反的形式排列,其目的或许是为了逃避检测和分析。最后,初始进程加载 DLL 并用它替换当前线程上下文。实际上,该DLL是一个 RedLine 窃取器有效负载,它通过TCP 连接到命令和控制服务器,这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。
截止到目前,安全研究人员发现的这个分发站点已经被关闭,但是却无法阻止攻击者设置新的分发站点,并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上,这样的情形已经在不断发生。
因此,用户在更新Windows 11系统时一定要选择官方渠道,如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得,那么在进行更新时应尽量提高警惕,避免陷入攻击者预设好的陷进之中。
参考来源:https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/