HP警告惡意軟體會在Discord上偽裝成Windows 11安裝程式

2022.02.21 12:50PM
照片中提到了DON、nldai、000G,跟馬塔蘭有關,包含了惡意軟件高清、惡意軟件、勒索軟件、電腦病毒、特洛伊木馬

微軟最新作業系統 Windows 11 已經在去年 10 月正式推出,只要達到官方公開的硬體標準,所有 Windows 10 用戶都能夠免費升級。至於不少未達標的用戶們則可能會開始在某些第三方網站尋找安裝這個作業系統的方式,然而,這個行為很有可能會導致用戶的電腦暴露在嚴重的資安問題當中,因為目前已經有許多惡意程式會偽裝成「Windows 11 安裝程式」,藉此誘騙用戶將勒索軟體安裝到電腦中。

照片中提到了DON、nldai、000G,跟馬塔蘭有關,包含了惡意軟件高清、惡意軟件、勒索軟件、電腦病毒、特洛伊木馬

有心人士利用仿製網站誘騙用戶下載勒索軟體

根據 HP 旗下威脅研究團隊的最新分析報告,一個名為名為「windows-upgraded」的第三方網站就會利用這種方式來散布會盜取用戶個資的惡意勒索軟體「RedLine Stealer」。而 HP 研究團隊還發現這個網站的整體設計與微軟官方的版本近乎如出一轍。然而,當用戶點選了「取得 Windows 11」橫條下方的「下載鍵」後,就會連結到一個設立在 Discord 頻道上的「內容傳遞網路」(CDN)。

然而,這個「安裝程式」其實是一個名為「Windows11InstallationAssistant.zip」的壓縮檔,而容量僅有 1.5 MB,內容包含了 6 個 Windows DLL 檔案、一個 XML 檔案以及一個可攜式執行文件夾。在解壓縮後,文件的大小會來到 753 MB,不難看出一些相當可疑的跡象。

照片中提到了H Get Windows 11 | Microsoft、O 8 https://windows-upgraded.com、Microsoft Windows,包含了Windows 7 橫幅、謹防、窗口 11、微軟Windows、Windows 7的

「由於這個壓縮檔的大小僅有 1.5MB,這代表著內容的壓縮比例高達了 99.8%」HP 研究團隊表示「這遠比平均 zip 檔壓縮的比例 47% 還要高上許多。為了要達到如此高的壓縮比例,內容絕對包含了大量可以輕易壓縮的填充內容,只要利用 16 進位制編輯器檢視的話,就可以輕易發現個現象。」

這些填充內容看起來像一堆 0x30 位元的編碼,對於檔案的執行並不會造成任何影響。HP 團隊表示這類型的檔案還能利用這種方式規避防毒軟體的偵測,因為在這些檔案在下載時並不會被檢測到完整的內容。然而,當用戶開始執行這個檔案時,它就會透過下載動作來執行 RedLine Stealer 這個惡意軟體,盜取用戶的個人資料、密碼、信用卡資訊,甚至視加密貨幣錢包等,接著自動聯繫一個特定的 IP 位置,將盜取來的資料全數傳送給攻擊者。

如同 HP 團隊的說法,這與他們在 2021 年分析的另一場攻擊事件相當類似。攻擊者採用了一種相似的詐騙技巧,利用與官方版本極其相似的名稱來誘騙用戶連結到一個 Discord 網站中,並下載一個相當危險的安裝程式。HP 表示這次的攻擊利用了類似的與 Windows 11 安裝程式相當接近的 DNS 伺服器、惡意軟體以及網域註冊。

照片中包含了惠普預兆、遊戲機、HP OMEN 17-cb0000 系列、生命值、電腦

未達標依然可利用微軟官方下載程式,但不保證能夠更新

對於一些想要安裝 Windwos 11,但沒有達到微軟官方安裝程式要求的用戶們來說,使用來路不明的第三方安裝管道當然是必須優先剔除的替代方案,畢竟這類用戶依然可以前往微軟官方網站的下載頁面,使用 Windows 11 ISO 或安裝程式進行安裝。然而,微軟也警告使用這個方式的用戶可能無法收到日後提供的一些重要更新內容,導致電腦與作業系統面臨一些資安問題。因此基於安全性的問題,要升級 Windows 11 最佳的方式依然是升級用戶本身的電腦硬體。

值得注意的是,Windows 11 整體而言與 Windows 10 並不存在著什麼太過顯著的差異,因此目前還沒有非得升級不可的理由。就連 Windows 11 最主打的遊戲功能 DirectStorage 也預計將會登上 Windows 10 系統。

照片中跟魔法飛躍有關,包含了不和諧黑客、安全黑客、不和諧、惡意軟件、電腦安全

除此之外,資安公司 Sophos 也在去年向用戶警告 Discord 很有可能將會成為惡意軟體的溫床。根據公司團隊當時的統計,在所有 TLS 惡意軟體的下載案例中,約有 4% 是來自 Discord 平台,而平台也未一些有心人士提供了一個可以上傳並分享惡意檔案的空間。由於平台本身的熱門程度,玩家們很有可能成為這些惡意軟體的誘騙目標。

資料來源

1 則回應