自 Windows 11 於去年 6 月首次公布以來,就出現了非常多的欺詐活動,目的讓用戶下載虛假的惡意 Windows 11 安裝程序。雖然這種欺詐曾消停過一段時間,但是現在它又重新出現,而且殺傷力進一步升級。
這是因為當時的 Windows 11 沒有向公眾開放,而只是向 Insider 開放,這些人一般都比較精通技術,意識比較強。然而,此後 Windows 11 已經向大眾開放,並制定了加速推出的計劃,使現在的情況更加微妙。
新的惡意軟件活動是由惠普威脅研究小組發現的,因為他們注意到一個新的冒牌網站,看起來像微軟的網站,但實際上是分發含有 RedLine 竊取惡意軟件的文件。
這個網站的名稱是“windows-upgraded[.com]”,從下面的圖片中可以看出,對於那些不注意的人來說,它可能看起來像一個真正的微軟網站,因為該網站的布局和外觀確實很像真的。
當有人點擊“立即下載”按鈕時,用戶就會下載一個名為“Windows11InstallationAssistant.zip”的 1.5MB 壓縮包被下載。然而,令惠普印象深刻的是,這個僅僅 1.5MB 的文件在解壓后導致了一個 753MB 的文件夾,壓縮率為99.8%。
在反轉軟件包的內容后,惠普發現這個Windows 11安裝程序傳遞了一個RedLine stealer惡意軟件的有效載荷,顧名思義,這個惡意軟件能夠竊取敏感信息,如密碼和其他憑證。