Bleeping Computer 報道稱，已有黑客在利用偽造的 Windows 11 升級安裝包，來引誘毫無戒心的受害者上鉤。為了將戲演得更真一些，當前正在活躍的惡意軟件活動甚至會利用中毒后的搜索結(jié)果，來推送一個模仿微軟 Windows 11 促銷頁面的網(wǎng)站。若不幸入套，或被惡意軟件竊取瀏覽器數(shù)據(jù)和加密貨幣錢包中的資產(chǎn)。

假冒 Windows11 升級網(wǎng)頁

在推廣 Windows 11 操作系統(tǒng)的同時，微軟也為新平臺制定了更加嚴格的安全標準。

如果你用過兼容性檢查工具，就會知道最容易被攔在門外的因素是缺乏 TPM 2.0 可信平臺模塊，幾乎將四年前的老設(shè)備都攔在了門外。

然而并不是所有人都知曉這一硬性要求，且黑客也很快盯上了這部分想要升級至 Windows 11 的普通用戶。

攻擊部署流程(圖自：CloudSEK)

截止 Bleeping Computer發(fā)稿時，上文提到的假冒 Windows 11 升級網(wǎng)站仍未被有關(guān)部門拿下，可知其精心模仿了微軟官方徽標、網(wǎng)站圖標、以及誘人的“立即下載”按鈕。

粗心的訪問者可以通過惡意鏈接獲得一個 ISO 文件，但該文件格式只是為可執(zhí)行的惡意文件提供了庇護 —— 攻擊者相當奸詐地利用了 Inno Setup Windows Windows 安裝器。

CloudSEK安全研究人員將之命名為 Inno Stealer，可知這款新型惡意軟件與目前流通的其它信息竊取程序沒有任何代碼上的相似之處，且 CloudSEC 未找到它有被上傳到 Virus Total 掃描平臺的證據(jù)。

Inno Stealer 感染鏈

基于 Delphi 的加載程序文件，是 ISO 中包含的“Windows 11 setup”可執(zhí)行文件。它會在啟動時轉(zhuǎn)儲一個名為 is-PN131.tmp 的臨時文件、并創(chuàng)建另一個 .TMP 文件。

加載程序會在其中寫入 3078KB 的數(shù)據(jù)，然后利用 CreateProcess Windows API 生成一個新的進程，實現(xiàn)持久駐留并植入四個惡意文件。

具體說來是，攻擊者選擇了通過在 Startup 目錄中添加一個 .LNK(快捷方式)文件，并將 icacls.exe 設(shè)置隱藏屬性以實現(xiàn)長期隱蔽。

被 Inno Stealer 盯上的瀏覽器列表

四個被刪除的文件中，有兩個是 Windows 命令腳本 —— 分別用于禁用注冊表安全防護、添加 Defender 排除項、卸載安全產(chǎn)品、以及移除影子卷。

此外研究人員指出，該惡意軟件還會鏟掉 EMSIsoft 和 ESET 的安全解決方案 —— 推測是因為這兩款反病毒軟件的檢出能力更強。

第三個文件是一個以最高系統(tǒng)權(quán)限運行的命令執(zhí)行工具，第四個文件則是運行 dfl.cmd 命令行所需的 VBA 腳本。

被 Inno Stealer 盯上的加密貨幣錢包

在感染的第二階段，惡意軟件會通過一個 .SCR 屏保文件，將自身放入受感染系統(tǒng)的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路徑。

它會解包出信息竊取器，并生成一個名為“Windows11InstallationAssistant.scr”的新克隆進程來執(zhí)行相關(guān)代理。

不過這款惡意軟件的功能，倒是沒有玩出其它新的花樣 —— 包括收集 Web 瀏覽器的 cookie 和已保存的憑據(jù)、加密貨幣錢包、以及文件系統(tǒng)中的數(shù)據(jù)。

惡意軟件與命令和控制服務(wù)器的通訊記錄截圖

最后可知 Inno Stealer 惡意軟件的攻擊目標相當廣泛，其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等瀏覽器。

所有被盜數(shù)據(jù)會被通過 PowerShell 命令復制到受感染設(shè)備上的臨時目錄并加密處理，然后發(fā)送到被攻擊者所控制的 C2 服務(wù)器上(windows-server031.com)。

更雞賊的是，攻擊者還會只在夜間執(zhí)行額外的操作，以利用受害者不在計算機身旁的時間段來鞏固自身的長期隱蔽駐留。

綜上所述，如果你的設(shè)備被微軟官方兼容性檢查工具認定不符合 Windows 11 操作系統(tǒng)升級要求，還請不要盲目繞過限制，否則會帶來一系列缺陷和嚴重的安全風險。