2月18日不良行为者在伪造的Windows11升级站点中隐藏恶意软件

惠普威胁研究博客报道了一个可疑的Windows11升级网站，该网站分发了RedLineStealer恶意软件。黑客正在创建创造性的网站，例如伪造的Windows11升级网站或类似的虚假Discord下载网站，以诱骗受害者下载恶意软件。为了避免这种情况，用户应确保他们从合法站点下载。

HP威胁研究博客警告说，恶意行为者正在利用最近发布的Windows11来分发恶意软件。这些不良行为者注册了域windows-upgrade[.]com，它将毫无戒心的用户带到一个令人信服的网站，该网站将自己伪装成合法的Windows11升级站点。该域试图传播RedLineStealer恶意软件，该恶意软件从受害者的计算机中窃取数据并在地下论坛上出售。

在虚假的Windows11升级站点上单击下载按钮时，将下载一个名为Windows11InstallationAssistant的zip文件，该文件托管在Discord上。此zip文件的大小为1.5MB，解压缩后扩展为753MB。zip实现了惊人的99.8%的压缩率，这可能是由于高度可压缩的填充。不良行为者可能已包含此填充，因为某些防病毒软件可能无法扫描非常大的文件。

运行Windows11InstallationAssistant.exe会启动一个PowerShell，它会下载RedLineStealer。该恶意软件会窃取受害者的敏感信息，例如密码、银行信息、加密货币钱包和用户的计算机信息。

这一利用近期趋势的最新尝试(例如Windows11的发布)是在之前类似的尝试传播RedLineStealer恶意软件之后进行的，例如黑客在2021年12月复制了Discord下载页面。这些不良行为者经常通过虚假传播恶意软件下载网站。因此，用户应该只从受信任的网站下载。

标签：