自從 Windows 11 在 2021 年 6 月首度發表以來,吸引不少人下載安裝,將電腦升級到最新作業系統,有話題的地方就一定會有人想要利用這些備受關注的點來侵入你的世界。從一開始就有不少虛假的惡意 Windows 11 安裝誘導想要嘗鮮的用戶,雖然消聲匿跡好段時間,但現在似乎又捲土重來,而且更加危險。
假的 Windows 11 升級官方網站捲土重來,以假亂真散播 RedLine Stealer惡意軟體檔案
最初會有那麼多的虛假升級檔案在網路傳播的原因在於當時 Windows 11 並沒有一開始就向大眾開放,而是針對更具技術基礎與知識的 Insider 測試成員,不過現在已經開放所有人升級,且加速普及的計畫也已進行中,使得現在的情況變得有點微妙。
新的惡意軟體活動是由 HP 安全研究團隊所發現,它們在網路上找到一個新的假冒微軟官網網站,但實際上它用非常類似的網域名稱「Windows-upgraded.com」以及與真正的 Window 11 官網相似到以假亂真的網頁設計,讓人看到時很容易會放鬆戒心而信以為真。當你點兩下「立即下載」按鈕時,將會下載一個名為「Windows11InstallationAssistant.zip」(Windows 11 安裝助手)的壓縮檔案,解壓縮後原本僅有 1.5MB 的檔案立刻膨脹成一個 753MB 的檔案,裡面包含六個 Windows DLL,一個 XML 檔和一個可移植的執行檔。使檔案非常大的其中一個原因是,防毒病毒和其他掃毒工具可能無法掃描此大小的檔案,從而使惡意檔案通行無阻地執行並安裝。
HP 經過反向解析後發現,在這個所謂 Windows 11 安裝程式中內含有 RedLine Stealer 惡意竊取程式的有效負載,顧名思義就是能夠潛伏在你的電腦中,收集使用者名稱、電腦名稱、已安裝的軟硬體資訊,另外還能從你的網頁瀏覽器裡面竊取密碼、金融憑證、信用卡自動輸入數據與加密貨幣錢包等個人隱私敏感數據,嚴重損害受感染使用者的財務與個資安全。
▲RebLine 竊取程式的進程執行方式
這次新發現的惡意軟體再次強調了不肖人士如何快速利用重要、相關與有趣的時下最熱門話題來建立對用戶最有效的誘餌,對於威脅行為者來說,這些熱門話題和事件用來傳播惡意軟體最為有效,由於此類活動通常依賴用戶主動從網站上下載軟體作為初始感染源頭,因此建議大家在下載、安裝軟體時務必慎選值得信賴的可靠來源,以盡可能避免落入五花八門、日新月異的圈套中。
