IT之家 4 月 19 日消息,據 Neowin 報道,自從 Windows 11 于 2021 年 6 月首次釋出以來,已經有許多活動旨在誘使人們下載下傳虛假的惡意 Windows 11 安裝程式。雖然這種活動平息了一段時間,但似乎現在又卷土重來,這一次,情況可能更加緻命。如今 Windows 11 已經普遍可用,使其成為當今的危險場景。
CloudSEK 網絡安全公司發現了一個類似性質的新惡意軟體,新的冒名頂替網站看起來像微軟官方網站,但實際上,由于使用 Inno Setup Windows,分發的檔案包含了“Inno Stealer”惡意軟體安裝程式。這是一種新穎的竊取資訊惡意軟體,在 Virus Total 上沒有發現類似的樣本。
惡意網站的 URL 是“windows11-upgrade11 [.] com”,似乎 Inno Stealer 活動策劃者幾個月前從另一個類似惡意軟體活動中擷取了頁面,使用相同的技巧來欺騙潛在的受害者。
CloudSEK 表示,下載下傳受感染的 ISO 後,會在背景運作多個程序以感染使用者的系統。它建立 Windows 指令腳本以禁用系統資料庫安全性、添加排除 Defender 、解除安裝安全産品并删除 shadow volumes。
最後,會建立一個 .SCR 檔案,該檔案是實際傳遞惡意負載的檔案,在這種情況下,受感染系統出現以下目錄中的新型 Inno Stealer 惡意軟體:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
惡意軟體負載檔案的名稱是“Windows11InstallationAssistant.scr”。
以下是用圖表解釋的整個過程:
CloudSEK 已确定 Inno 資訊竊取惡意軟體所追求的目标,包括浏覽器和加密錢包。這些如下圖所示。首先,是浏覽器,然後是加密錢包: