据BleepingComputer网站消息,研究人员发现,黑客利用虚假的Windows11系统升级来传播恶意软件攻击,目的是窃取用户的浏览器数据,甚至加密货币钱包。当微软正式提供Windows11升级时,会为用户提供一个升级工具来检查他们的设备是否符合升级条件。然而,黑客利用部分用户懒惰确认自己设备的硬件信息,制作了一个看似官方的升级页面,放置一个“立即下载”按钮,诱导用户不假思索地上钩。假WIndows11升级网站据CloudSEK威胁研究人员分析,这是一种新型恶意软件,由于使用了InnoSetupWindows安装程序,因此被称为“InnoStealer”。研究人员表示,InnoStealer与当前的其他信息窃取程序代码没有任何相似之处,并且没有看到恶意软件上传到VirusTotal平台。当受害者下载时,他们会得到一个包含恶意软件的ISO文件。InnoStealer通过ISO中包含的“Windows11设置”可执行文件加载它,使用CreateProcessWindowsAPI生成新进程,并植入4个恶意脚本以删除注册表安全、绕过Defender保护并卸载相关安全软件。至于InnoStealer的功能,它包括收集网络浏览器cookie和存储的凭据、来自加密货币钱包的数据以及来自文件系统的数据。研究人员列出了35个可能成为目标的WEB浏览器和39个加密货币钱包。InnoStealer针对的35个浏览器InnoStealer针对的39个加密货币钱包此外,研究人员还发现了InnoStealer的一个有趣特性:网络管理和数据窃取功能是多线程的,所有窃取的数据都通过PowerShell命令复制到用户的临时目录并加密,然后发送到黑客控制的C2服务器。近期,多次出现通过假冒Windows11升级窃取信息的恶意软件。今年2月,RedLine恶意软件通过伪造的Windows11升级网页传播有效载荷,以窃取用户的敏感数据。参考来源:https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/
