Win 11系统之家
自从 Windows 11 于2021 年 6 月首次发布以来,已经有许多活动旨在诱使人们下载虚假的恶意 Windows 11 安装程序。虽然这种活动似乎平息了一段时间,但它似乎又回来了,这一次,情况可能更加致命。
那是因为当时的 Windows 11 不向公众提供,而只提供给内部人员,他们可能更精通技术和消息灵通。然而,Windows 11 已经普遍可用,使其成为当今的危险场景。
CloudSEK 网络安全公司发现了一个类似性质的新恶意软件活动,因为它注意到一个新的冒名顶替网站,看起来像微软的网站,但实际上,由于使用Inno Setup Windows ,分发的文件包含研究人员称之为“Inno Stealer”恶意软件安装程序。这是一种新颖的窃取恶意软件,因为在 Virus Total 上没有发现类似的样本。
恶意网站的 URL 是“windows11-upgrade11[.]com”,似乎 Inno Stealer 活动的威胁参与者几个月前从另一个类似的恶意软件活动中获取了一个页面,该活动使用相同的技巧来欺骗潜在的受害者。最后一个在报道时已经下架,但新的还在上,因此建议读者谨慎交易。
CloudSEK 表示,下载受感染的 ISO 后,会在后台运行多个进程以中和受感染用户的系统。它创建 Windows 命令脚本以禁用注册表安全性、添加 Defender 例外、卸载安全产品并删除影子卷。
最后,会创建一个 .SCR 文件,该文件是实际传递恶意负载的文件,在这种情况下,是在受感染系统的以下目录中的新型 Inno Stealer 恶意软件:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant恶意软件负载文件的名称是“Windows11InstallationAssistant.scr”。
以下是用图表解释的整个过程:
CloudSEK 已确定 Inno 信息窃取恶意软件所追求的以下目标,包括浏览器和加密钱包。这些如下图所示。首先,我们有浏览器,然后是加密钱包:
这是从真正的 Microsoft 网站下载 Windows 的官方链接。
