RedLine恶意程序伪装成Windows 11升级安装包

惠普的安全研究人员发现一款名为 RedLine 恶意程序正伪装成 Windows 11 升级安装程序提供给 Windows 10 用户。

据悉，惠普的安全人员在例行检查中发现有攻击者伪造了多个外观和微软官网极其相似的网站，用来传播恶意软件。

为了迷惑受害者，攻击者还精心注册了 windows-upgraded.com 等看起来合法的域名，以诱导不明所以的用户上当。

受害者点击了页面上的下载按钮会获取到一个1.5 MB 大小名为 Windows11InstallationAssistant.zip 的 ZIP 压缩文件。

该文件被托管在了 Discord CDN 中，所以普通用户基本上无法从下载路径上瞧出任何端倪，这个渠道本身并不违规。

受害者解压这个压缩文件后，会生成一个大小为 753 MB的文件夹，一般情况下这种高达 99.8% 的压缩率很难做到。

解压生成的文件夹包含八个文件，其中六个是 Windows DLL文件、一个是 XML 文件，一个是可移植的可执行文件。

按照正常的操作习惯来说，相信大家都会选择运行文件夹中唯一的可执行文件，因为其他文件一般都无法直接打开。

而一旦超时到期，初始进程就会从远程服务器上获取一个名为 win11.jpg 的文件，但并不是我们认知里的图片文件。

通过文本编辑器等工具打开这个所谓的 .jpg 后缀的文件，可以发现这个文件显示的内容只是以相反的顺序进行存储。

剖析该文件可以发现这个 .jpg 后缀的文件是一个被编码或加密过的包含有一个 DLL 的文件，目的是逃避检测或分析。

一旦文件内容被反转，就会得到一个动态库 DDL ，它由初始进程加载，加载后的 DLL 就用它替换当前线程上下文。

通过这波操作，RedLine 恶意程序就运转起来，首先是收集用户名、计算机名称、程序列表和硬件信息等各种资料。

之后，这个恶意程序会窃取用户浏览器中存储的密码、信用卡信息等自动存储的数据，甚至是加密货币文件和钱包。

为了将窃取的资料上载和接收新指令，RedLine Stealer 还会打开一个已配置好远程 C&C 服务器地址的的 TCP 链接。

尽管用来分发恶意程序的网站已经被关闭，但并不能阻止黑客注册新的域名创建新的分发站点，并实施新一轮攻击。

分析此次攻击，安全人员发现 RedLine Stealer 所使用的策略、技术和恶意程序和 2021年12月的一次攻击非常相似。

黑客这两次攻击中所使用的域名注册商、DNS 服务器和分发的套路都完全一致，因此可以判断为同一黑客组织所为。

不得不说，黑客对用户心理掌握的一清二楚，他们知道用户通常喜欢通过搜索引擎检索关键词进行系统的更新升级。

他们只需要依据最新时事，根据用户需求做好诱饵就可以守株待兔了，通常情况下，人们都会掉入其设置好的陷阱。

尽管笔者的同事中有已经从事七八年网络相关行业的经历，但下载电脑管家等工具时，依旧会点击第三方竞价网站。

于是乎电脑上就会被安装全家桶而变成弹窗垃圾桶，笔者为这事儿也是头疼不已，网络安全科普工作任重而道远哪！