駭客將可竊取機密資訊的RedLine Stealer偽裝成Windows 11更新程式

HP的威脅研究團隊本周指出,就在微軟於今年1月26日宣布將邁入Windows 11最後升級階段的隔天,便有駭客集團註冊了windows-upgraded[.]com網址,企圖利用假冒的Windows 11安裝程式,來散布可用來竊取機密資訊的RedLine Stealer。

圖片來源/HP

根據該團隊的研究,駭客企圖以新申請的網址假冒為Windows 11的網站,當受害者造訪並點選Download Now按鍵時,就會下載一個由Discord內容遞送網路所代管的Windows11InstallationAssistant壓縮檔,該壓縮檔僅有1.5MB大小,但解壓縮後則高達753MB,當中填入了許多無用的資料以撐大檔案,此舉是因為多數的防毒或掃描工具無法檢查太大型的檔案,能提高攻擊的成功率。

圖片來源/HP

受害者執行該偽造的Windows 11安裝程式之後,實際上安裝的卻是RedLine Stealer,該惡意程式可搜括受害環境中的各種資訊,從使用者名稱、電腦名稱、所安裝的軟體與硬體資訊,一直到儲存於瀏覽器中的密碼、諸如信用卡資訊等可自動填入的資料,以及加密貨幣檔案與錢包等,再將它們傳送到由駭客掌控的命令暨控制(C&C)伺服器。

另一資安業者AhnLab ASEC曾於去年底揭露RedLine Stealer的細節,指出RedLine Stealer最早出現在2020年的3月,駭客於暗網中以150~200美元的價格兜售此一駭客工具,並無法判斷究竟有多少人買了RedLine Stealer,更有其他駭客直接兜售利用RedLine Stealer所竊取的憑證。

已經現身超過兩年的RedLine Stealer被以各種方式散布,包括以COVID-19為主題的垃圾郵件、惡意廣告、偽裝成照片編輯程式、偽裝成Soundshifter的破解程式、註冊假冒為Discord的discrodappp[.]com網站,到最新的仿冒Windows 11安裝程式。

HP威脅研究團隊表示,這透露出駭客持續利用各種重要或當下受矚目的事件來散布RedLine Stealer,有鑑於其感染途徑必須仰賴使用者自網路上下載軟體,各組織都應藉由限制使用者只能自可靠來源下載軟體,以預防這類的惡意程式感染。

原文來自 iThome Online