HP的威胁研究团队本周指出,就在微软于今年1月26日宣布将迈入Windows 11最后升级阶段的隔天,便有黑客集团注册了windows-upgraded“.”com网址,企图利用假冒的Windows 11安装程序,来传播可用来窃取机密信息的RedLine Stealer。
图片来源/HP
根据该团队的研究,黑客企图以新申请的网址假冒为Windows 11的网站,当受害者访问并点击Download Now按钮时,就会下载一个由Discord内容传送网络所托管的Windows11InstallationAssistant压缩文件,该压缩文件仅有1.5MB大小,但解压缩后则高达753MB,其中填入了许多无用的资料以撑大文件,此举是因为多数的杀毒或扫描工具无法检查太大型的文件,能提高攻击的成功率。
图片来源/HP
受害者执行该伪造的Windows 11安装程序之后,实际上安装的却是RedLine Stealer,该恶意程序可搜括受害环境中的各种信息,从用户名、计算机名称、所安装的软件与硬件信息,一直到存储于浏览器中的密码、诸如信用卡信息等可自动填入的资料,以及加密货币文件与钱包等,再将它们发送到由黑客掌控的命令暨控制(C&C)服务器。
另一安全企业AhnLab ASEC曾于去年底披露RedLine Stealer的细节,指出RedLine Stealer最早出现在2020年的3月,黑客于暗网中以150~200美元的价格兜售该黑客工具,并无法判断究竟有多少人买了RedLine Stealer,更有其他黑客直接兜售利用RedLine Stealer所窃取的凭证。
已经现身超过两年的RedLine Stealer被以各种方式传播,包括以COVID-19为主题的垃圾邮件、恶意广告、伪装成照片编辑程序、伪装成Soundshifter的破解程序、注册假冒为Discord的discrodappp“.”com网站,到最新的仿冒Windows 11安装程序。
HP威胁研究团队表示,这透露出黑客持续利用各种重要或当下受瞩目的事件来传播RedLine Stealer,有鉴于其感染途径必须依赖用户自网络上下载软件,各组织都应借由限制用户只能自可靠来源下载软件,以预防这类的恶意程序感染。