4 月 19 日消息,據 Neowin 報道,自從 Windows 11 于 2021 年 6 月首次發布以來,已經有許多活動旨在誘使人們下載虛假的惡意 Windows 11 安裝程序。雖然這種活動平息了一段時間,但似乎現在又卷土重來,這一次,情況可能更加致命。如今 Windows 11 已經普遍可用,使其成為當今的危險場景。
CloudSEK 網絡安全公司發現了一個類似性質的新惡意軟件,新的冒名頂替網站看起來像微軟官方網站,但實際上,由于使用 Inno Setup Windows,分發的文件包含了“Inno Stealer”惡意軟件安裝程序。這是一種新穎的竊取信息惡意軟件,在 Virus Total 上沒有發現類似的樣本。
惡意網站的 URL 是“windows11-upgrade11 [.] com”,似乎 Inno Stealer 活動策劃者幾個月前從另一個類似惡意軟件活動中獲取了頁面,使用相同的技巧來欺騙潛在的受害者。
CloudSEK 表示,下載受感染的 ISO 后,會在后臺運行多個進程以感染用戶的系統。它創建 Windows 命令腳本以禁用注冊表安全性、添加排除 Defender 、卸載安全產品并刪除 shadow volumes。
最后,會創建一個 .SCR 文件,該文件是實際傳遞惡意負載的文件,在這種情況下,受感染系統出現以下目錄中的新型 Inno Stealer 惡意軟件:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
惡意軟件負載文件的名稱是“Windows11InstallationAssistant.scr”。
以下是用圖表解釋的整個過程:
CloudSEK 已確定 Inno 信息竊取惡意軟件所追求的目標,包括瀏覽器和加密錢包。這些如下圖所示。首先,是瀏覽器,然后是加密錢包:
【來源:IT之家】
