用戶小心!假 Windows 11 網站出現,更新即被竊取個資
自Windows 11 系統發布以來,一直不斷有各種欺騙用戶下載的惡意Windows 11 安裝程序。雖然這種情況在過去一段時間裡有所遏制,但現在又捲土重來,而且破壞力明顯升級。
網絡安全公司 CloudSEK 近日發現了一個新型惡意軟件活動,看起來非常像是微軟的官方網站。由於使用了 Inno Setup Windows 安裝程序,它分發的文件包含研究人員所說的“Inno Stealer”惡意軟件。
惡意網站的 URL 是“windows11-upgrade11[.com]”,看來 Inno Stealer 活動的威脅者從幾個月前的另一個類似的惡意軟件活動中吸取了經驗,該活動使用同樣的伎倆來欺騙潛在的受害者。
↑Inno Stealer 的感染鏈。
CloudSEK 表示,在下載受感染的 ISO 後,多個進程在後台運行,以中和受感染用戶的系統。它創建了 Windows 命令腳本,以禁用註冊表安全,添加 Defender 例外,卸載安全產品,並刪除陰影區塊。
Inno Stealer 的功能是此類惡意軟件的典型功能,包括收集 Web 瀏覽器 cookie 和儲存的憑據、加密貨幣錢包中的數據以及文件系統中的數據。
目標瀏覽器和加密錢包的集合非常廣泛,包括 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo。
↑ Inno Stealer 針對的 Web 瀏覽器。
↑ Inno Stealer 針對的加密錢包。
Inno Stealer 的一個有趣特性是網絡管理和數據竊取功能是多線程的。所有被盜數據通過 PowerShell 命令複製到用戶的臨時目錄,加密,然後發送到操作員的命令和控制服務器(“windows-server031.com”)。竊取者還可以獲取額外的有效載荷,該操作僅在夜間執行,可能是為了利用受害者不在電腦旁的時間。他們的額外功能包括竊取使用者複製的訊息和洩露使用者目錄等。
最後,建議避免從不明的來源下載 ISO 文件,僅從 Windows 10 控制面板中執行主要的操作系統升級或直接從官方來源獲取安裝文件。