威胁参与者已开始向Windows 10用户分发假冒的Windows 11升级安装程序,诱使他们下载并执行红线窃取恶意软件。
攻击发生的时间与微软宣布Windows 11';因此,攻击者为这一行动做好了充分准备,并等待适当的时机来最大限度地发挥他们的行动#39;这是成功。
RedLine stealer是目前部署最广泛的密码、浏览器cookie、信用卡和加密货币钱包信息抓取器,因此它的感染可能会给受害者带来可怕的后果。
据发现这场活动的惠普研究人员称,这些参与者将看似合法的“windows upgraded.com”域名用于其活动的恶意软件分发部分。
该网站看起来像一个真正的微软网站,如果访问者点击“立即下载”按钮,他们会收到一个名为“Windows11InstallationAssistant.ZIP”的1.5MB ZIP存档,直接从一个不协调的CDN获取。
解压文件会产生一个753MB大小的文件夹,显示出令人印象深刻的压缩率99.8%,这是由于可执行文件中存在填充。
当受害者启动文件夹中的可执行文件时,将启动带有编码参数的PowerShell进程。
接下来是cmd。exe进程以21秒的超时时间启动,在该超时时间到期后,将启动一个。jpg文件是从远程web服务器获取的。
该文件包含一个DLL,其内容以相反的形式排列,可能是为了逃避检测和分析。
最后,初始进程加载DLL并用它替换当前线程上下文。该DLL是一个红线窃取器有效负载,它通过TCP连接到命令和控制服务器,以获取关于它必须在新受危害的系统上下一步运行哪些恶意任务的指令。
尽管发行网站现在已经关闭,但没有什么能阻止参与者建立新的域名并重新开始他们的活动。事实上,这很可能已经在野外发生了。
Windows 11是一次重大升级,由于硬件不兼容,许多Windows 10用户无法从官方发行渠道获得,恶意软件运营商认为这是寻找新受害者的绝佳机会。
正如BleepingComputer在一月份报道的那样,威胁参与者也在利用Windows';合法更新客户端以在受损的Windows系统上执行恶意代码,因此惠普报告的策略在这一点上并不令人惊讶。
记住,这些危险的网站是通过论坛、社交媒体帖子或即时消息来推广的,所以除了官方的Windows升级系统警报之外,不要相信任何东西。