自從 Windows 11 於 2021 年 6 月首次發佈以來,已經有許多駭客設計了各種陷阱,旨在誘使人們下載假的惡意 Windows 11 安裝程式。雖然這種活動前陣子似乎較少,平息了一段時間,但似乎現在又捲土重來,這一次,情況可能更加致命。如今 Windows 11 已經普遍可用,使其成為當今的危險情境。
CloudSEK 網路安全公司發現了一個類似性質的新惡意軟體,新的冒名頂替網站看起來像微軟官方網站,但實際上,由於使用 Inno Setup Windows,分發的檔案內包含了「Inno Stealer」惡意軟體安裝程式。這是一種新的竊取資訊惡意軟體,目前在安全網站的資料庫中還沒有發現類似的樣本。
惡意網站的 URL 是“windows11-upgrade11 [.] com”,似乎 Inno Stealer 幕後的駭客從幾個月前另一個類似惡意軟體的活動中,複製了這個頁面,然後使用相同的技巧來欺騙潛在的受害者。
CloudSEK 表示,下載受感染的 ISO 後,會在後台執行多個程序以感染使用者的系統。它會創建 Windows 命令腳本以禁用註冊表安全性防護、禁用Defender 、卸載安全軟體並刪除 shadow volumes。
最後,會創建一個 .SCR 檔案,該檔案是實際傳遞惡意軟體的檔案,在這種情況下,受感染系統出現以下目錄中的新型 Inno Stealer 惡意軟體:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
惡意軟體負載文件的名稱是“Windows11InstallationAssistant.scr”。
以下是用圖表解釋的整個過程:
CloudSEK 已確定 Inno 資訊竊取惡意軟體所追求的目標,包括瀏覽器和加密錢包。受感染的程式如下圖,首先是瀏覽器,然後是加密錢包:
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!