【安全资讯】新的虚假升级网站再现！Win11已成恶意软件香饽饽

据Bleeping Computer网站报导称，研究人员又发现黑客利用伪造的Windows 11系统升级来传播恶意软件的攻击事件，目标是窃取用户的浏览器数据甚至加密货币钱包。

Microsoft官方在提供Windows 11升级时会为用户提供升级工具，以检查其设备是否具备升级条件。但黑客利用了部分用户不会确认自身设备的硬件信息，通过仿制一个看似官方的升级页面，放置“立即下载”按钮诱导用户不加思索地上钩。

根据CloudSEK的威胁研究人员的分析，这是一种新型恶意软件，因使用了 Inno Setup Windows 安装程序，而被称为“Inno Stealer”。研究人员表示，Inno Stealer 与目前其他信息窃取程序代码没有任何相似之处，也没有发现该恶意软件被上传到 Virus Total 平台。

当受害者下载后，会获得一个包含恶意软件的ISO文件，Inno Stealer通过 ISO 中包含的“Windows 11 setup”可执行文件进行加载，使用 CreateProcess Windows API 生成一个新进程，并植入4个恶意脚本以删除注册表、绕过Defender防护、卸载相关安全软件。

至于Inno Stealer的功能，则包括收集 Web 浏览器 cookie 和存储的凭证、加密货币钱包中的数据以及文件系统中的数据。研究人员发现可被针对的WEB浏览器35款，加密货币钱包39款。

此外，研究人员还发现了Inno Stealer 的一个有趣特性：网络管理和数据窃取功能是多线程的，所有被盗数据通过 PowerShell 命令复制到用户的临时目录并加密，然后发送受黑客控制的C2服务器.。

近来，通过伪造Windows 11升级来窃取信息的恶意软件已多次出现，比较典型的是今年2月，RedLine 恶意软件就曾通过虚假的Windows 11升级网页来传播有效载荷，以窃取用户的敏感数据。

来源 | FreeBuf.COM