骇客将可窃取机密资讯的RedLine Stealer伪装成Windows 11更新程序

育碧 • 2023年8月25日 15:50 • 投稿

HP的威胁研究团队本周指出，就在微软于今年1月26日宣布将迈入Windows 11最后升级阶段的隔天，便有黑客集团注册了windows-upgraded[.] com网址，企图利用假冒的Windows 11安装程序，来散布可用来窃取机密资讯的RedLine Stealer。

图片来源/HP

根据该团队的研究，黑客企图以新申请的网址假冒为Windows 11的网站，当受害者造访并点击Download Now按键时，就会下载一个由内容递送网络所代管的Windows11InstallationAssistant压缩文件，该压缩文件仅有1.5MB大小，但解压缩后则高达753MB，当中填入了许多无用的资料以撑大档案，此举是因为多数的防毒或扫描工具无法检查太大型的档案，能提高攻击的成功率。

图片来源/HP

受害者执行该伪造的Windows 11安装程序之后，实际上安装的却是RedLine Stealer，该恶意程序可搜括受害环境中的各种信息，从用户名称、计算机名称、所安装的软件与硬件信息，一直到储存于浏览器中的密码、诸如信用卡信息等可自动填入的资料，以及加密货币档案与钱包等，再将它们传送到由黑客掌控的命令暨控制（C&C）服务器。

另一资安业者AhnLab ASEC曾于去年底揭露RedLine Stealer的细节，指出RedLine Stealer最早出现在2020年的3月，骇客于暗网中以150~200美元的价格兜售此一骇客工具，并无法判断究竟有多少人买了RedLine Stealer，更有其他黑客直接兜售利用RedLine Stealer所窃取的凭证。

已经现身超过两年的RedLine Stealer被以各种方式散布，包括以COVID-19为主题的垃圾邮件、恶意广告、伪装成照片编辑程序、伪装成Soundshifter的破解程序、注册假冒为的discrodappp[.] com网站，到最新的仿冒Windows 11安装程序。

HP威胁研究团队表示，这透露出黑客持续利用各种重要或当下受瞩目的事件来散布RedLine Stealer，有鉴于其感染途径必须仰赖使用者自网络上下载软件，各组织都应借由限制使用者只能自可靠来源下载软件，以预防这类的恶意程序感染。