据Bleeping Computer网站消息,研究人员又发现黑客利用伪造的Windows 11系统升级来传播恶意软件的攻击事件,目标是窃取用户的浏览器数据甚至加密货币钱包。
Microsoft官方在提供Windows 11升级时会为用户提供升级工具,以检查其设备是否具备升级条件。但黑客利用了部分用户懒于确认自身设备的硬件信息,通过炮制一个看似官方的升级页面,放置“立即下载”按钮诱导用户不加思索地上钩。
伪造的WIndows 11升级网站
根据CloudSEK的威胁研究人员的分析,这是一种新型恶意软件,因使用了 Inno Setup Windows 安装程序,而被称为“Inno Stealer”。研究人员表示,Inno Stealer 与目前其他信息窃取程序代码没有任何相似之处,也没有发现该恶意软件被上传到 Virus Total 平台。
当受害者下载后,会获得一个包含恶意软件的ISO文件,Inno Stealer通过 ISO 中包含的“Windows 11 setup”可执行文件进行加载,使用 CreateProcess Windows API 生成一个新进程,并植入4个恶意脚本以删除注册表安全、绕过Defender防护、卸载相关安全软件。
至于Inno Stealer的功能,则包括收集 Web 浏览器 cookie 和存储的凭证、加密货币钱包中的数据以及文件系统中的数据。研究人员列出了可被针对的WEB浏览器35款,加密货币钱包39款。
Inno Stealer所针对的35款浏览器
Inno Stealer所针对的39款加密货币钱包
此外,研究人员还发现了Inno Stealer 的一个有趣特性:网络管理和数据窃取功能是多线程的,所有被盗数据通过 PowerShell 命令复制到用户的临时目录并加密,然后发送受黑客控制的C2服务器.。
近来,通过伪造Windows 11升级来窃取信息的恶意软件已多次出现,比较典型的是今年2月,RedLine 恶意软件就曾通过虚假的Windows 11升级网页来传播有效载荷,以窃取用户的敏感数据。
参考来源:https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/