自從Windows 11發布以來,就出現了不少假冒升級網站,來誘導用戶來下載惡意軟件。
近期,惠普威脅研究小組發現其中一個假冒網站,一名惡意行為者于2022年1月27日注冊了“windows-upgraded”的域名,風格和微軟官網相似度較高,相當有誘騙力。
不知情的用戶通過該頁面點擊“DOWNLOAD NOW”后,下載1.5MB的“Windows11InstallationAssistant.zip”文件后,通過解壓可獲得753MB的總文件,壓縮率為 99.8%。
惠普威脅研究小組逆向分析了該文件的內容,發現這個假冒的Windows 11安裝程序,文件含有RedLine惡意軟件程序。
一旦用戶運行該文件,它會從服務器獲取一個包含DLL的.jpg惡意文件,這么做可能是為了規避檢測和分析,之后它會通過TCP連接到命令和控制服務器,讓感染的系統來運行惡意指令。
該惡意程序能夠竊取敏感信息,如飛行里程、網上銀行憑證和其它數字資產,并通過暗網售賣。
由于Windows 11提高了升級門檻,不少用戶為了嘗鮮在網上搜尋安裝的方法,該惡意軟件針對的目標群體就是此類用戶。
截止文章發布時,改文章已經關閉訪問。這里要提醒的是,在網上沖浪須擦亮雙眼提高警惕,除了微軟官網,其它渠道的都不可信。
