Windows 11更新要小心了,恶意软件已经盯上它

0收藏

0点赞

浏览量:588

2022-02-10

举报

2022年年初,微软官方一再发布消息催促用户及时更新Windows 11系统,并表示Windows 11 系统的推广部署工作已经进入尾声。微软此前曾承诺在2022年年中完成Windows 11的推广工作,现在看来,该公司很有可能与这一最初的时间表保持一致。而一旦错过了这个推广期,后续用户很有可能无法继续享受免费更新Windows 11系统的服务。

而就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序,并开始大规模地向Windows 10用户分发虚假升级程序,诱使他们下载和执行 RedLine 恶意软件。

RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,一旦感染可能会对受害者造成严重的后果。

HP安全研究人员发现了这一攻击活动,攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。该站点看起来像一个真正的 Microsoft 站点,如果访问者单击“立即下载”按钮,他们会收到一个 1.5 MB 的 ZIP 存档,名为“Windows11InstallationAssistant.zip”,直接从 Discord CDN 获取。如下图所示。

用于恶意软件分发的虚假网站 (HP)

随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻,这主要归功于可执行文件中字节的填充。

而当受害者启动文件夹中的可执行文件时,一个带有编码参数的 PowerShell 进程就会启动。并且还会启动一个 cmd.exe 进程,在经过约21秒的超时时间后,它会从远程 Web 服务器获取一个 .jpg 文件。

该文件包含一个DLL,其内容以相反的形式排列,其目的或许是为了逃避检测和分析。最后,初始进程加载 DLL 并用它替换当前线程上下文。实际上,该DLL是一个 RedLine 窃取器有效负载,它通过TCP 连接到命令和控制服务器,这样它就可以在新感染的系统上获取接下来需要运行的恶意指令。

截止到目前,安全研究人员发现的这个分发站点已经被关闭,但是却无法阻止攻击者设置新的分发站点,并重新开启新一轮的、虚假的Windows 11升级安装程序。事实上,这样的情形已经在不断发生。

因此,用户在更新Windows 11系统时一定要选择官方渠道,如果Windows 10用户由于硬件不兼容而无法从官方分发渠道获得,那么在进行更新时应尽量提高警惕,避免陷入攻击者预设好的陷进之中。

参考来源:https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/


(来源:FreeBuf)

(原文链接:https://www.freebuf.com/news/321585.html

发表评论

点击排行

提醒 | 这144个涉诈APP,请赶快卸载!

近日,公安机关经对电信网络诈骗案件梳理,发现大量仿冒手机APP均为涉诈软件。内容涵盖社交、贷款、投资、...

俄乌网络战争态势浅析

       随着信息技术的不断发展,“云、大、物、移、AI”等新技术给人们的生活带来了极...

7月30日每日安全热点 - 南非物流公司 Transnet SOC 遭受勒索软件攻击

漏洞 Vulnerability趋势科技Apex One多个高危漏洞https://success.trendmicro.com/solution/000287819...

ISC 2021:360政企安全集团生态合作伙伴大会召开 360安全大脑联盟正式成立

7月28日,360政企安全集团生态合作伙伴大会在北京国家会议中心成功召开。来自全国各地的政企行业领导、业内...

坚决反对美国蓄意发动“网络卢沟桥事变”!

来源丨环球时报、补壹刀包括美国、欧盟、英国、澳大利亚、加拿大、新西兰、日本和北约在内的多国和组织19日...

【安全圈】绿媒爆料台湾百余“高层政要”通讯软件被黑

关键词通讯软件、黑客入侵台湾亲绿媒体《自由时报》28日爆料称,包含台“府院”、军方、县市长及“朝野政党”等...

美国国防承包商如何爱上这位漂亮的美女健美操教练并让他们的电子邮件被黑客入侵

文章来源:红数位一个位于伊朗的黑客组织花了大约一年半的时间开展了一场黑客活动,他们伪装成美女有氧运动...

扫描二维码下载APP