駭客將可竊取機密資訊的RedLine Stealer偽裝成Windows 11更新程式

HP的威脅研究團隊本周指出，就在微軟於今年1月26日宣布將邁入Windows 11最後升級階段的隔天，便有駭客集團註冊了windows-upgraded[.]com網址，企圖利用假冒的Windows 11安裝程式，來散布可用來竊取機密資訊的RedLine Stealer。

圖片來源／HP

根據該團隊的研究，駭客企圖以新申請的網址假冒為Windows 11的網站，當受害者造訪並點選Download Now按鍵時，就會下載一個由Discord內容遞送網路所代管的Windows11InstallationAssistant壓縮檔，該壓縮檔僅有1.5MB大小，但解壓縮後則高達753MB，當中填入了許多無用的資料以撐大檔案，此舉是因為多數的防毒或掃描工具無法檢查太大型的檔案，能提高攻擊的成功率。

圖片來源／HP

受害者執行該偽造的Windows 11安裝程式之後，實際上安裝的卻是RedLine Stealer，該惡意程式可搜括受害環境中的各種資訊，從使用者名稱、電腦名稱、所安裝的軟體與硬體資訊，一直到儲存於瀏覽器中的密碼、諸如信用卡資訊等可自動填入的資料，以及加密貨幣檔案與錢包等，再將它們傳送到由駭客掌控的命令暨控制（C&C）伺服器。

另一資安業者AhnLab ASEC曾於去年底揭露RedLine Stealer的細節，指出RedLine Stealer最早出現在2020年的3月，駭客於暗網中以150~200美元的價格兜售此一駭客工具，並無法判斷究竟有多少人買了RedLine Stealer，更有其他駭客直接兜售利用RedLine Stealer所竊取的憑證。

已經現身超過兩年的RedLine Stealer被以各種方式散布，包括以COVID-19為主題的垃圾郵件、惡意廣告、偽裝成照片編輯程式、偽裝成Soundshifter的破解程式、註冊假冒為Discord的discrodappp[.]com網站，到最新的仿冒Windows 11安裝程式。

HP威脅研究團隊表示，這透露出駭客持續利用各種重要或當下受矚目的事件來散布RedLine Stealer，有鑑於其感染途徑必須仰賴使用者自網路上下載軟體，各組織都應藉由限制使用者只能自可靠來源下載軟體，以預防這類的惡意程式感染。