好看的课外书,古风小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

Windows 11更新要小心了，惡意軟件已經(jīng)盯上它

2022年年初，微軟官方一再發(fā)布消息催促用戶及時(shí)更新Windows 11系統(tǒng)，并表示W(wǎng)indows 11 系統(tǒng)的推廣部署工作已經(jīng)進(jìn)入尾聲。微軟此前曾承諾在2022年年中完成Windows 11的推廣工作，現(xiàn)在看來，該公司很有可能與這一最初的時(shí)間表保持一致。而一旦錯(cuò)過了這個(gè)推廣期，后續(xù)用戶很有可能無法繼續(xù)享受免費(fèi)更新Windows 11系統(tǒng)的服務(wù)。

而就在Windows 11系統(tǒng)廣泛部署階段，RedLine惡意軟件團(tuán)伙已經(jīng)悄悄盯上了這波更新，已經(jīng)做好了充足的攻擊前準(zhǔn)備。攻擊者們首先制作了虛假的、相似度非常高的Windows 11升級(jí)安裝程序，并開始大規(guī)模地向Windows 10用戶分發(fā)虛假升級(jí)程序，誘使他們下載和執(zhí)行 RedLine 惡意軟件。

RedLine 惡意軟件是目前部署最廣泛的密碼、瀏覽器 cookie、信用卡和加密貨幣錢包信息抓取程序，一旦感染可能會(huì)對(duì)受害者造成嚴(yán)重的后果。

HP安全研究人員發(fā)現(xiàn)了這一攻擊活動(dòng)，攻擊者使用看似合法的“windows-upgraded.com”域來分發(fā)惡意軟件。該站點(diǎn)看起來像一個(gè)真正的 Microsoft 站點(diǎn)，如果訪問者單擊“立即下載”按鈕，他們會(huì)收到一個(gè) 1.5 MB 的 ZIP 存檔，名為“Windows11InstallationAssistant.zip”，直接從 Discord CDN 獲取。如下圖所示。

用于惡意軟件分發(fā)的虛假網(wǎng)站 (HP)

隨后，解壓縮文件會(huì)生成一個(gè)大小為 753MB 的文件夾，其高達(dá)99.8%的壓縮率令安全研究人員印象深刻，這主要?dú)w功于可執(zhí)行文件中字節(jié)的填充。

而當(dāng)受害者啟動(dòng)文件夾中的可執(zhí)行文件時(shí)，一個(gè)帶有編碼參數(shù)的 PowerShell 進(jìn)程就會(huì)啟動(dòng)。并且還會(huì)啟動(dòng)一個(gè) cmd.exe 進(jìn)程，在經(jīng)過約21秒的超時(shí)時(shí)間后，它會(huì)從遠(yuǎn)程 Web 服務(wù)器獲取一個(gè) .jpg 文件。

該文件包含一個(gè)DLL，其內(nèi)容以相反的形式排列，其目的或許是為了逃避檢測和分析。最后，初始進(jìn)程加載 DLL 并用它替換當(dāng)前線程上下文。實(shí)際上，該DLL是一個(gè) RedLine 竊取器有效負(fù)載，它通過TCP 連接到命令和控制服務(wù)器，這樣它就可以在新感染的系統(tǒng)上獲取接下來需要運(yùn)行的惡意指令。

截止到目前，安全研究人員發(fā)現(xiàn)的這個(gè)分發(fā)站點(diǎn)已經(jīng)被關(guān)閉，但是卻無法阻止攻擊者設(shè)置新的分發(fā)站點(diǎn)，并重新開啟新一輪的、虛假的Windows 11升級(jí)安裝程序。事實(shí)上，這樣的情形已經(jīng)在不斷發(fā)生。

因此，用戶在更新Windows 11系統(tǒng)時(shí)一定要選擇官方渠道，如果Windows 10用戶由于硬件不兼容而無法從官方分發(fā)渠道獲得，那么在進(jìn)行更新時(shí)應(yīng)盡量提高警惕，避免陷入攻擊者預(yù)設(shè)好的陷進(jìn)之中。

參考來源：https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/

本文標(biāo)題：Windows 11更新要小心了，惡意軟件已經(jīng)盯上它
標(biāo)題鏈接：http://fisionsoft.com.cn/article/copeepo.html

新聞中心

其他資訊