惠普威胁研究小组发现windows11假冒网站自从Windows11发布以来

自从Windows11发布以来，就出现了不少假冒升级网站，来诱导用户来下载恶意软件。
近期，惠普威胁研究小组发现其中一个假冒网站，一名恶意行为者于2022年1月27日注册了“windows-upgraded”的域名，风格和微软官网相似度较高，相当有诱骗力。
不知情的用户通过该页面点击“DOWNLOADNOW”后，下载1.5MB的“Windows11InstallationAssistant.zip”文件后，通过解压可获得753MB的总文件，压缩率为99.8% 。

文章图片

文章图片

惠普威胁研究小组逆向分析了该文件的内容，发现这个假冒的Windows11安装程序，文件含有RedLine恶意软件程序。
一旦用户运行该文件，它会从服务器获取一个包含DLL的.jpg恶意文件，这么做可能是为了规避检测和分析，之后它会通过TCP连接到命令和控制服务器，让感染的系统来运行恶意指令。
【惠普威胁研究小组发现windows11假冒网站】该恶意程序能够窃取敏感信息，如飞行里程、网上银行凭证和其它数字资产，并通过暗网售卖。
由于Windows11提高了升级门槛，不少用户为了尝鲜在网上搜寻安装的方法，该恶意软件针对的目标群体就是此类用户。
截止文章发布时，改文章已经关闭访问。这里要提醒的是，在网上冲浪须擦亮双眼提高警惕，除了微软官网，其它渠道的都不可信。

文章图片

文章图片