安全人员发现新的虚假“微软Win11下载网站”

本文转自:IT之家
IT之家 4 月 19 日消息 , 据 Neowin 报道 , 自从 Windows 11 于 2021 年 6 月首次发布以来 , 已经有许多活动旨在诱使人们下载虚假的恶意 Windows 11 安装程序 。虽然这种活动平息了一段时间 , 但似乎现在又卷土重来 , 这一次 , 情况可能更加致命 。如今 Windows 11 已经普遍可用 , 使其成为当今的危险场景 。
CloudSEK 网络安全公司发现了一个类似性质的新恶意软件 , 新的冒名顶替网站看起来像微软官方网站 , 但实际上 , 由于使用 Inno Setup Windows , 分发的文件包含了“Inno Stealer”恶意软件安装程序 。这是一种新颖的窃取信息恶意软件 , 在 Virus Total 上没有发现类似的样本 。
安全人员发现新的虚假“微软Win11下载网站”
文章图片

文章图片

恶意网站的 URL 是“windows11-upgrade11 [.] com” , 似乎 Inno Stealer 活动策划者几个月前从另一个类似恶意软件活动中获取了页面 , 使用相同的技巧来欺骗潜在的受害者 。
CloudSEK 表示 , 下载受感染的 ISO 后 , 会在后台运行多个进程以感染用户的系统 。它创建 Windows 命令脚本以禁用注册表安全性、添加排除 Defender 、卸载安全产品并删除 shadow volumes 。
最后 , 会创建一个 .SCR 文件 , 该文件是实际传递恶意负载的文件 , 在这种情况下 , 受感染系统出现以下目录中的新型 Inno Stealer 恶意软件:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
恶意软件负载文件的名称是“Windows11InstallationAssistant.scr” 。
以下是用图表解释的整个过程:
安全人员发现新的虚假“微软Win11下载网站”
文章图片

文章图片

CloudSEK 已确定 Inno 信息窃取恶意软件所追求的目标 , 包括浏览器和加密钱包 。这些如下图所示 。首先 , 是浏览器 , 然后是加密钱包:
【安全人员发现新的虚假“微软Win11下载网站”】安全人员发现新的虚假“微软Win11下载网站”
文章图片

文章图片