2022年年初，微軟官方一再發(fā)布消息催促用戶及時更新Windows 11系統(tǒng)，并表示W(wǎng)indows 11 系統(tǒng)的推廣部署工作已經(jīng)進入尾聲。微軟此前曾承諾在2022年年中完成Windows 11的推廣工作，現(xiàn)在看來，該公司很有可能與這一最初的時間表保持一致。而一旦錯過了這個推廣期，后續(xù)用戶很有可能無法繼續(xù)享受免費更新Windows 11系統(tǒng)的服務(wù)。

而就在Windows 11系統(tǒng)廣泛部署階段，RedLine惡意軟件團伙已經(jīng)悄悄盯上了這波更新，已經(jīng)做好了充足的攻擊前準(zhǔn)備。攻擊者們首先制作了虛假的、相似度非常高的Windows 11升級安裝程序，并開始大規(guī)模地向Windows 10用戶分發(fā)虛假升級程序，誘使他們下載和執(zhí)行 RedLine 惡意軟件。

RedLine 惡意軟件是目前部署最廣泛的密碼、瀏覽器 cookie、信用卡和加密貨幣錢包信息抓取程序，一旦感染可能會對受害者造成嚴(yán)重的后果。

HP安全研究人員發(fā)現(xiàn)了這一攻擊活動，攻擊者使用看似合法的“windows-upgraded.com”域來分發(fā)惡意軟件。該站點看起來像一個真正的 Microsoft 站點，如果訪問者單擊“立即下載”按鈕，他們會收到一個 1.5 MB 的 ZIP 存檔，名為“Windows11InstallationAssistant.zip”，直接從 Discord CDN 獲取。如下圖所示。

用于惡意軟件分發(fā)的虛假網(wǎng)站 (HP)

隨后，解壓縮文件會生成一個大小為 753MB 的文件夾，其高達99.8%的壓縮率令安全研究人員印象深刻，這主要歸功于可執(zhí)行文件中字節(jié)的填充。

而當(dāng)受害者啟動文件夾中的可執(zhí)行文件時，一個帶有編碼參數(shù)的 PowerShell 進程就會啟動。并且還會啟動一個 cmd.exe 進程，在經(jīng)過約21秒的超時時間后，它會從遠程 Web 服務(wù)器獲取一個 .jpg 文件。

該文件包含一個DLL，其內(nèi)容以相反的形式排列，其目的或許是為了逃避檢測和分析。最后，初始進程加載 DLL 并用它替換當(dāng)前線程上下文。實際上，該DLL是一個 RedLine 竊取器有效負載，它通過TCP 連接到命令和控制服務(wù)器，這樣它就可以在新感染的系統(tǒng)上獲取接下來需要運行的惡意指令。

截止到目前，安全研究人員發(fā)現(xiàn)的這個分發(fā)站點已經(jīng)被關(guān)閉，但是卻無法阻止攻擊者設(shè)置新的分發(fā)站點，并重新開啟新一輪的、虛假的Windows 11升級安裝程序。事實上，這樣的情形已經(jīng)在不斷發(fā)生。

因此，用戶在更新Windows 11系統(tǒng)時一定要選擇官方渠道，如果Windows 10用戶由于硬件不兼容而無法從官方分發(fā)渠道獲得，那么在進行更新時應(yīng)盡量提高警惕，避免陷入攻擊者預(yù)設(shè)好的陷進之中。

參考來源：https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/