BleepingComputer报道称,黑客一直在使用虚假的Windows11升级安装包来引诱毫无戒心的受害者上钩。稍微夸张一点,当前活跃的恶意软件活动甚至使用中毒的搜索结果来推送一个模仿微软Windows11促销页面的网站。如果不幸被抓到,您的浏览器数据和加密货币钱包中的资产可能会被恶意软件窃取。假冒Windows11升级网页在宣传Windows11操作系统的同时,微软也为新平台制定了更严格的安全标准。如果您曾经使用过兼容性检查器,您就会知道让您无法使用的最大因素是缺少TPM2.0可信平台模块,这几乎可以防止设备使用四年。然而,并非所有人都意识到这一硬性要求,黑客很快将目标对准了这些想要升级到Windows11的普通用户。攻击部署过程(图片来自:CloudSEK)截至BleepingComputer发稿时,假冒的Windows11升级网站上述未被有关部门取缔。可以看出,它精心模仿了微软的官方标志、网站图标和吸引人的“立即下载”按钮。粗心的访问者可以通过恶意链接获取ISO文件,但文件格式仅为恶意可执行文件提供庇护所——攻击者相当狡猾地利用了InnoSetupWindowsWindows安装程序。CloudSEK安全研究人员将其命名为InnoStealer,表明该新型恶意软件与目前流通的其他信息窃取程序没有代码相似之处,CloudSEC也未发现其被上传至VirusTotal扫描平台的证据。InnoStealer感染链基于Delphi加载程序文件,即ISO中包含的“Windows11安装程序”可执行文件。它会在启动时转储名为is-PN131.tmp的临时文件并创建另一个.TMP文件。加载程序将3078KB的数据写入其中,然后使用CreateProcessWindowsAPI生成一个新进程以实现持久化并植入四个恶意文件。具体来说,攻击者选择在Startup目录下添加一个.LNK(快捷方式)文件,并设置icacls.exe的隐藏属性,以达到长期隐藏的目的。InnoStealer针对的浏览器列表四个被删除的文件中有两个是Windows命令脚本——分别用于禁用注册表安全保护、添加Defender排除、卸载安全产品和删除卷影。此外,研究人员指出,该恶意软件还消灭了EMSIsoft和ESET的安全解决方案——可能是因为它们具有更好的检测能力。第三个文件是以最高系统权限运行的命令执行工具,第四个文件是运行dfl.cmd命令行所需的VBA脚本。在InnoStealer针对加密货币钱包的第二阶段感染中,恶意软件通过.SCR屏幕保护程序文件将自身置于受感染系统的C:\Users\\AppData\Roaming\Windows11InstallationAssistant路径中。它解压缩信息窃取器并生成一个名为“Windows11InstallationAssistant.scr”的新克隆进程来执行关联的代理。然而,该恶意软件的功能并没有发挥其他新花样——包括收集cookie和保存的网络浏览器凭证、加密货币钱包以及文件系统中的数据。该恶意软件与命令和控制服务器的通信截图显示,InnoStealer恶意软件针对广泛的浏览器,包括Chrome、Edge、Brave、Opera、Vivaldi、360Browser和Comodo。所有被盗数据都会通过PowerShell命令复制到受感染设备的一个临时目录中,加密后发送到攻击者控制的C2服务器(windows-server031.com)。更糟糕的是,攻击者只会在晚上执行额外的操作,利用受害者离开计算机的时间来加强他们的长期隐蔽存在。综上所述,如果您的设备被微软官方兼容性检测工具判定为不满足Windows11操作系统升级要求,请不要盲目绕过限制,否则会带来一系列缺陷和严重的安全隐患。
