Windows 11：谨防这个假更新，它会窃取您的个人信息和银行详细信息

惠普安全中心的研究人员刚刚发现，假冒的 Windows 11 更新目前在网络上泛滥。此更新的目标是使用 RedLine Stealer 恶意软件感染目标 PC，该恶意软件会窃取浏览器中存储的用户数据，例如信用卡信息和自动完成数据。

2022年1月26日，最后阶段部署视窗11被宣布。第二天，域名windows-upgraded.com就被注册了。事实上，黑客注册该域名是为了分发所谓的 Windows 11 更新，该更新实际上隐藏了恶意软件 RedLine Stealer。

为了欺骗用户，攻击者复制了 Microsoft 网站。公司徽标、解释 Windows 不同方面的菜单、搜索引擎、购买产品的可能性、连接到 Microsoft 帐户的可能性……简而言之，如果你不这样做，他就很容易陷入陷阱。经验丰富。该网站提供下载 ZIP 文件，理论上可以让您更新 Windows 10 并安装 Windows 11。

另请阅读：Windows 11 – 小心这些假安装文件，它们隐藏恶意软件！

这个假冒的 Windows 11 更新隐藏了 RedLine Stealer 恶意软件

解压到硬盘后，该包Windows11安装助手.zip包含一个可执行文件（允许您安装所谓的更新）、一个 XML 文件和各种 DLL。最令人惊讶的是原始 1.5 MB 存档解压后需要 753 MB 磁盘空间。可执行文件本身重 751 MB，我们正在处理创纪录的压缩级别。事实上，惠普研究人员发现了大量的 0x30（十六进制代码），这些无用的信息旨在人为地增加程序的大小。由于大多数恶意软件分析工具和其他沙箱无法处理这样的文件大小，因此他们必须手动分析代码并删除不必要的部分。

因此，他们发现可执行文件的行为与活动相同红线偷窃者，发生在去年12月。它还冒充 Discord 应用程序，利用虚假网站传播其恶意软件。 RedLine Stealer 恶意软件允许攻击者恢复浏览器记录的信息，例如自动完成字段、银行卡详细信息， ETC。该软件还对系统进行详细的清点：用户名、硬件配置、位置数据、已安装的安全软件列表，一切都包括在内。最后，该恶意软件的最新版本还旨在窃取受害者持有的加密货币。

如果有问题的网站已被停用，请注意：Windows11InstallationAssistant.zip 更新文件仍在网络上到处传播，我们毫不费力地找到它。与往常一样，如果您想更新操作系统，我们系统地建议您使用 Windows 更新模块。或者失败了，下载 Microsoft 官方网站上提供的可执行文件。

来源 ：惠普威胁研究