Win11再现虚假升级网站
Win11再现虚假升级网站,新的冒名顶替网站看起来像微软官方网站,但实际上,分发的文件包含恶意软件安装程序,这是一种新颖的窃取信息恶意软件,Win11再现虚假升级网站。
据Bleeping Computer网站消息,研究人员又发现黑客利用伪造的Windows 11系统升级来传播恶意软件的攻击事件,目标是窃取用户的浏览器数据甚至虚拟货币钱包。
Microsoft官方在提供Windows 11升级时会为用户提供升级工具,以检查其设备是否具备升级条件。但黑客利用了部分用户懒于确认自身设备的硬件信息,通过炮制一个看似官方的升级页面,放置“立即下载”按钮诱导用户不加思索地上钩。
伪造的WIndows 11升级网站
根据CloudSEK的威胁研究人员的分析,这是一种新型恶意软件,因使用了 Inno Setup Windows 安装程序,而被称为“Inno Stealer”。研究人员表示,Inno Stealer 与目前其他信息窃取程序代码没有任何相似之处,也没有发现该恶意软件被上传到 Virus Total 平台。
当受害者下载后,会获得一个包含恶意软件的ISO文件,Inno Stealer通过 ISO 中包含的“Windows 11 setup”可执行文件进行加载,使用 CreateProcess Windows API 生成一个新进程,并植入4个恶意脚本以删除注册表安全、绕过Defender防护、卸载相关安全软件。
至于Inno Stealer的功能,则包括收集 Web 浏览器 cookie 和存储的凭证、虚拟货币钱包中的数据以及文件系统中的数据。研究人员列出了可被针对的WEB浏览器35款,虚拟货币钱包39款。
此外,研究人员还发现了Inno Stealer 的一个有趣特性:网络管理和数据窃取功能是多线程的,所有被盗数据通过 PowerShell 命令复制到用户的临时目录并加密,然后发送受黑客控制的C2服务器.。
近来,通过伪造Windows 11升级来窃取信息的恶意软件已多次出现,比较典型的是今年2月,RedLine 恶意软件就曾通过虚假的'Windows 11升级网页来传播有效载荷,以窃取用户的敏感数据。
据 Neowin 报道,自从 Windows 11 于 2021 年 6 月首次发布以来,已经有许多活动旨在诱使人们下载虚假的恶意 Windows 11 安装程序。虽然这种活动平息了一段时间,但似乎现在又卷土重来,这一次,情况可能更加致命。如今 Windows 11 已经普遍可用,使其成为当今的危险场景。
CloudSEK 网络安全公司发现了一个类似性质的新恶意软件,新的冒名顶替网站看起来像微软官方网站,但实际上,由于使用 Inno Setup Windows,分发的文件包含了“Inno Stealer”恶意软件安装程序。这是一种新颖的窃取信息恶意软件,在 Virus Total 上没有发现类似的样本。
恶意网站的 URL 是“windows11-upgrade11 [.] com”,似乎 Inno Stealer 活动策划者几个月前从另一个类似恶意软件活动中获取了页面,使用相同的技巧来欺骗潜在的受害者。
CloudSEK 表示,下载受感染的 ISO 后,会在后台运行多个进程以感染用户的系统。它创建 Windows 命令脚本以禁用注册表安全性、添加排除 Defender 、卸载安全产品并删除 shadow volumes。
最后,会创建一个 .SCR 文件,该文件是实际传递恶意负载的文件,在这种情况下,受感染系统出现以下目录中的新型 Inno Stealer 恶意软件:
C:Users\AppDataRoamingWindows11InstallationAssistant
恶意软件负载文件的名称是“Windows11InstallationAssistant.scr”。
以下是用图表解释的整个过程:
CloudSEK 已确定 Inno 信息窃取恶意软件所追求的目标,包括浏览器和加密钱包。
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。
网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序,它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。
恶意网站的URL是“windows11-upgrade11[.com]”,看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验,该活动使用同样的伎俩来欺骗潜在的受害者。
CloudSEK说,在下载受感染的ISO后,多个进程在后台运行,以中和受感染用户的系统。它创建了Windows命令脚本,以禁用注册表安全,添加 Defender 例外,卸载安全产品,并删除阴影卷。
最后,一个.SCR文件被创建,这是一个实际传递恶意有效载荷的文件,在这种情况下,新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是"Windows11InstallationAssistant.scr"。
文档为doc格式