自 Windows 11 于去年 6 月首次公布以来，就出现了非常多的欺诈活动，目的让用户下载虚假的恶意 Windows 11 安装程序。虽然这种欺诈曾消停过一段时间，但是现在它又重新出现，而且杀伤力进一步升级。

这是因为当时的 Windows 11 没有向公众开放，而只是向 Insider 开放，这些人一般都比较精通技术，意识比较强。然而，此后 Windows 11 已经向大众开放，并制定了加速推出的计划，使现在的情况更加微妙。

新的恶意软件活动是由惠普威胁研究小组发现的，因为他们注意到一个新的冒牌网站，看起来像微软的网站，但实际上是分发含有 RedLine 窃取恶意软件的文件。

这个网站的名称是“windows-upgraded[.com]”，从下面的图片中可以看出，对于那些不注意的人来说，它可能看起来像一个真正的微软网站，因为该网站的布局和外观确实很像真的。

当有人点击“立即下载”按钮时，用户就会下载一个名为“Windows11InstallationAssistant.zip”的 1.5MB 压缩包被下载。然而，令惠普印象深刻的是，这个仅仅 1.5MB 的文件在解压后导致了一个 753MB 的文件夹，压缩率为99.8%。

在反转软件包的内容后，惠普发现这个Windows 11安装程序传递了一个RedLine stealer恶意软件的有效载荷，顾名思义，这个恶意软件能够窃取敏感信息，如密码和其他凭证。

标签：