安全人員發(fā)現(xiàn)新的虛假“微軟 Win11 下載網(wǎng)站”，包含惡意病毒安裝程序

IT之家 4 月 19 日消息，據(jù) Neowin 報(bào)道，自從 Windows 11 于 2021 年 6 月首次發(fā)布以來，已經(jīng)有許多活動旨在誘使人們下載虛假的惡意 Windows 11 安裝程序。雖然這種活動平息了一段時(shí)間，但似乎現(xiàn)在又卷土重來，這一次，情況可能更加致命。如今 Windows 11 已經(jīng)普遍可用，使其成為當(dāng)今的危險(xiǎn)場景。

CloudSEK 網(wǎng)絡(luò)安全公司發(fā)現(xiàn)了一個類似性質(zhì)的新惡意軟件，新的冒名頂替網(wǎng)站看起來像微軟官方網(wǎng)站，但實(shí)際上，由于使用 Inno Setup Windows，分發(fā)的文件包含了“Inno Stealer”惡意軟件安裝程序。這是一種新穎的竊取信息惡意軟件，在 Virus Total 上沒有發(fā)現(xiàn)類似的樣本。

惡意網(wǎng)站的 URL 是“windows11-upgrade11 [.] com”，似乎 Inno Stealer 活動策劃者幾個月前從另一個類似惡意軟件活動中獲取了頁面，使用相同的技巧來欺騙潛在的受害者。

CloudSEK 表示，下載受感染的 ISO 后，會在后臺運(yùn)行多個進(jìn)程以感染用戶的系統(tǒng)。它創(chuàng)建 Windows 命令腳本以禁用注冊表安全性、添加排除 Defender 、卸載安全產(chǎn)品并刪除 shadow volumes。

最后，會創(chuàng)建一個 .SCR 文件，該文件是實(shí)際傳遞惡意負(fù)載的文件，在這種情況下，受感染系統(tǒng)出現(xiàn)以下目錄中的新型 Inno Stealer 惡意軟件：

C:\Users\\AppData\Roaming\Windows11InstallationAssistant

惡意軟件負(fù)載文件的名稱是“Windows11InstallationAssistant.scr”。

以下是用圖表解釋的整個過程：

CloudSEK 已確定 Inno 信息竊取惡意軟件所追求的目標(biāo)，包括瀏覽器和加密錢包。這些如下圖所示。首先，是瀏覽器，然后是加密錢包：

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。