Windows 11：謹防這個假更新，它會竊取您的個人資訊和銀行詳細信息

惠普安全中心的研究人員剛發現，假冒的 Windows 11 更新目前在網路上氾濫。此更新的目標是使用 RedLine Stealer 惡意軟體感染目標 PC，該惡意軟體會竊取瀏覽器中儲存的用戶數據，例如信用卡資訊和自動完成數據。

2022年1月26日，最後階段部署視窗11被宣布。第二天，網域windows-upgraded.com就註冊了。事實上，駭客註冊該網域是為了分發所謂的 Windows 11 更新，而這項更新實際上隱藏了惡意軟體 RedLine Stealer。

為了欺騙用戶，攻擊者複製了 Microsoft 網站。公司徽標、解釋 Windows 不同方面的選單、搜尋引擎、購買產品的可能性、連接到 Microsoft 帳戶的可能性……簡而言之，如果你不這樣做，他就很容易陷入陷阱。該網站提供下載 ZIP 文件，理論上可以讓您更新 Windows 10 並安裝 Windows 11。

另請閱讀：Windows 11 – 小心這些假安裝文件，它們隱藏惡意軟體！

這個假冒的 Windows 11 更新隱藏了 RedLine Stealer 惡意軟體

解壓縮到硬碟後，該包Windows11安裝助手.zip包含一個可執行檔（允許您安裝所謂的更新）、一個 XML 檔案和各種 DLL。最令人驚訝的是原始 1.5 MB 存檔解壓縮後需要 753 MB 磁碟空間。可執行檔本身重 751 MB，我們正在處理創紀錄的壓縮等級。事實上，惠普研究人員發現了大量的 0x30（十六進位代碼），這些無用的資訊旨在人為地增加程式的大小。由於大多數惡意軟體分析工具和其他沙箱無法處理這樣的檔案大小，因此他們必須手動分析程式碼並刪除不必要的部分。

因此，他們發現可執行檔的行為與活動相同紅線偷竊者，發生在去年12月。它還冒充 Discord 應用程序，利用虛假網站傳播其惡意軟體。 RedLine Stealer 惡意軟體可讓攻擊者恢復瀏覽器記錄的訊息，例如自動完成欄位、銀行卡詳細信息， ETC。該軟體還對系統進行詳細的清點：用戶名、硬體配置、位置數據、已安裝的安全軟體列表，一切都包括在內。最後，該惡意軟體的最新版本還旨在竊取受害者持有的加密貨幣。

如果有問題的網站已停用，請注意：Windows11InstallationAssistant.zip 更新檔案仍在網路上到處傳播，我們毫不費力地找到它。像往常一樣，如果您想更新作業系統，我們系統地建議您使用 Windows 更新模組。或者失敗了，下載 Microsoft 官方網站上提供的可執行文件。

來源 ：惠普威脅研究