2022年年初，微軟官方一再發布消息催促用戶及時更新Windows 11系統，并表示Windows 11 系統的推廣部署工作已經進入尾聲。微軟此前曾承諾在2022年年中完成Windows 11的推廣工作，現在看來，該公司很有可能與這一最初的時間表保持一致。而一旦錯過了這個推廣期，后續用戶很有可能無法繼續享受免費更新Windows 11系統的服務。

而就在Windows 11系統廣泛部署階段，RedLine惡意軟件團伙已經悄悄盯上了這波更新，已經做好了充足的攻擊前準備。攻擊者們首先制作了虛假的、相似度非常高的Windows 11升級安裝程序，并開始大規模地向Windows 10用戶分發虛假升級程序，誘使他們下載和執行 RedLine 惡意軟件。

RedLine 惡意軟件是目前部署最廣泛的密碼、瀏覽器 cookie、信用卡和加密貨幣錢包信息抓取程序，一旦感染可能會對受害者造成嚴重的后果。

HP安全研究人員發現了這一攻擊活動，攻擊者使用看似合法的“windows-upgraded.com”域來分發惡意軟件。該站點看起來像一個真正的 Microsoft 站點，如果訪問者單擊“立即下載”按鈕，他們會收到一個 1.5 MB 的 ZIP 存檔，名為“Windows11InstallationAssistant.zip”，直接從 Discord CDN 獲取。如下圖所示。

用于惡意軟件分發的虛假網站 (HP)

隨后，解壓縮文件會生成一個大小為 753MB 的文件夾，其高達99.8%的壓縮率令安全研究人員印象深刻，這主要歸功于可執行文件中字節的填充。

而當受害者啟動文件夾中的可執行文件時，一個帶有編碼參數的 PowerShell 進程就會啟動。并且還會啟動一個 cmd.exe 進程，在經過約21秒的超時時間后，它會從遠程 Web 服務器獲取一個 .jpg 文件。

該文件包含一個DLL，其內容以相反的形式排列，其目的或許是為了逃避檢測和分析。最后，初始進程加載 DLL 并用它替換當前線程上下文。實際上，該DLL是一個 RedLine 竊取器有效負載，它通過TCP 連接到命令和控制服務器，這樣它就可以在新感染的系統上獲取接下來需要運行的惡意指令。

截止到目前，安全研究人員發現的這個分發站點已經被關閉，但是卻無法阻止攻擊者設置新的分發站點，并重新開啟新一輪的、虛假的Windows 11升級安裝程序。事實上，這樣的情形已經在不斷發生。

因此，用戶在更新Windows 11系統時一定要選擇官方渠道，如果Windows 10用戶由于硬件不兼容而無法從官方分發渠道獲得，那么在進行更新時應盡量提高警惕，避免陷入攻擊者預設好的陷進之中。

參考來源：https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/