據(jù)Bleeping Computer網(wǎng)站消息，研究人員又發(fā)現(xiàn)黑客利用偽造的Windows 11系統(tǒng)升級(jí)來傳播惡意軟件的攻擊事件，目標(biāo)是竊取用戶的瀏覽器數(shù)據(jù)甚至加密貨幣錢包。

Microsoft官方在提供Windows 11升級(jí)時(shí)會(huì)為用戶提供升級(jí)工具，以檢查其設(shè)備是否具備升級(jí)條件。但黑客利用了部分用戶懶于確認(rèn)自身設(shè)備的硬件信息，通過炮制一個(gè)看似官方的升級(jí)頁面，放置“立即下載”按鈕誘導(dǎo)用戶不加思索地上鉤。

偽造的WIndows 11升級(jí)網(wǎng)站

根據(jù)CloudSEK的威脅研究人員的分析，這是一種新型惡意軟件，因使用了 Inno Setup Windows 安裝程序，而被稱為“Inno Stealer”。研究人員表示，Inno Stealer 與目前其他信息竊取程序代碼沒有任何相似之處，也沒有發(fā)現(xiàn)該惡意軟件被上傳到 Virus Total 平臺(tái)。

當(dāng)受害者下載后，會(huì)獲得一個(gè)包含惡意軟件的ISO文件，Inno Stealer通過 ISO 中包含的“Windows 11 setup”可執(zhí)行文件進(jìn)行加載，使用 CreateProcess Windows API 生成一個(gè)新進(jìn)程，并植入4個(gè)惡意腳本以刪除注冊表安全、繞過Defender防護(hù)、卸載相關(guān)安全軟件。

至于Inno Stealer的功能，則包括收集 Web 瀏覽器 cookie 和存儲(chǔ)的憑證、加密貨幣錢包中的數(shù)據(jù)以及文件系統(tǒng)中的數(shù)據(jù)。研究人員列出了可被針對的WEB瀏覽器35款，加密貨幣錢包39款。

Inno Stealer所針對的35款瀏覽器

Inno Stealer所針對的39款加密貨幣錢包

此外，研究人員還發(fā)現(xiàn)了Inno Stealer 的一個(gè)有趣特性：網(wǎng)絡(luò)管理和數(shù)據(jù)竊取功能是多線程的，所有被盜數(shù)據(jù)通過 PowerShell 命令復(fù)制到用戶的臨時(shí)目錄并加密，然后發(fā)送受黑客控制的C2服務(wù)器.。

近來，通過偽造Windows 11升級(jí)來竊取信息的惡意軟件已多次出現(xiàn)，比較典型的是今年2月，RedLine 惡意軟件就曾通過虛假的Windows 11升級(jí)網(wǎng)頁來傳播有效載荷，以竊取用戶的敏感數(shù)據(jù)。

參考來源：https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/