安全人員又發現虛假Win11升級網站

安全人員又發現虛假Win11升級網站，自2021 年 6 月釋出以來，不斷有各種活動欺騙使用者下載惡意的 Windows 11 安裝程式。安全人員又發現虛假Win11升級網站。

安全人員又發現虛假Win11升級網站1

據 Neowin 報道，自從 Windows 11 於 2021 年 6 月首次釋出以來，已經有許多活動旨在誘使人們下載虛假的惡意 Windows 11 安裝程式。雖然這種活動平息了一段時間，但似乎現在又捲土重來，這一次，情況可能更加致命。如今 Windows 11 已經普遍可用，使其成為當今的危險場景。

CloudSEK 網路安全公司發現了一個類似性質的新惡意軟體，新的冒名頂替網站看起來像微軟官方網站，但實際上，由於使用 Inno Setup Windows，分發的檔案包含了“Inno Stealer”惡意軟體安裝程式。這是一種新穎的竊取資訊惡意軟體，在 Virus Total 上沒有發現類似的樣本。

惡意網站的 URL 是“windows11-upgrade11 [.] com”，似乎 Inno Stealer 活動策劃者幾個月前從另一個類似惡意軟體活動中獲取了頁面，使用相同的技巧來欺騙潛在的受害者。

CloudSEK 表示，下載受感染的` ISO 後，會在後臺執行多個程序以感染使用者的系統。它建立 Windows 命令指令碼以禁用登錄檔安全性、新增排除 Defender 、解除安裝安全產品並刪除 shadow volumes。

最後，會建立一個 檔案，該檔案是實際傳遞惡意負載的檔案，在這種情況下，受感染系統出現以下目錄中的新型 Inno Stealer 惡意軟體：

C:UsersAppDataRoamingWindows11InstallationAssistant

惡意軟體負載檔案的名稱是“”。

以下是用圖表解釋的整個過程：

CloudSEK 已確定 Inno 資訊竊取惡意軟體所追求的目標，包括瀏覽器和加密錢包。

安全人員又發現虛假Win11升級網站2

自 Windows 11 系統 2021 年 6 月釋出以來，不斷有各種活動欺騙使用者下載惡意的 Windows 11 安裝程式。雖然這種情況在過去一段時間裡有所遏制，但現在又捲土重來，而且破壞力明顯升級。

網路安全公司 CloudSEK 近日發現了一個新型惡意軟體活動，看起來非常像是微軟的官方網站。由於使用了 Inno Setup Windows 安裝程式，它分發的檔案包含研究人員所說的“Inno Stealer”惡意軟體。

惡意網站的URL是“windows11-upgrade11[]”，看來 Inno Stealer 活動的威脅者從幾個月前的另一個類似的惡意軟體活動中吸取了經驗，該活動使用同樣的伎倆來欺騙潛在的受害者。

CloudSEK說，在下載受感染的ISO後，多個程序在後臺執行，以中和受感染使用者的系統。它建立了Windows命令指令碼，以禁用登錄檔安全，新增 Defender 例外，解除安裝安全產品，並刪除陰影卷。

最後，一個檔案被建立，這是一個實際傳遞惡意有效載荷的檔案，在這種情況下，新穎的 Inno Stealer 惡意軟體在被感染系統的以下目錄中。惡意軟體有效載荷檔案的名稱是""。

安全人員又發現虛假Win11升級網站3

據Bleeping Computer網站訊息，研究人員又發現黑客利用偽造的Windows 11系統升級來傳播惡意軟體的攻擊事件，目標是竊取使用者的瀏覽器資料甚至虛擬貨幣錢包。

Microsoft官方在提供Windows 11升級時會為使用者提供升級工具，以檢查其裝置是否具備升級條件。但黑客利用了部分使用者懶於確認自身裝置的硬體資訊，通過炮製一個看似官方的升級頁面，放置“立即下載”按鈕誘導使用者不加思索地上鉤。

偽造的WIndows 11升級網站

根據CloudSEK的威脅研究人員的分析，這是一種新型惡意軟體，因使用了 Inno Setup Windows 安裝程式，而被稱為“Inno Stealer”。研究人員表示，Inno Stealer 與目前其他資訊竊取程式程式碼沒有任何相似之處，也沒有發現該惡意軟體被上傳到 Virus Total 平臺。

當受害者下載後，會獲得一個包含惡意軟體的ISO檔案，Inno Stealer通過 ISO 中包含的“Windows 11 setup”可執行檔案進行載入，使用 CreateProcess Windows API 生成一個新程序，並植入4個惡意指令碼以刪除登錄檔安全、繞過Defender防護、解除安裝相關安全軟體。

至於Inno Stealer的功能，則包括收集 Web 瀏覽器 cookie 和儲存的憑證、虛擬貨幣錢包中的資料以及檔案系統中的資料。研究人員列出了可被針對的WEB瀏覽器35款，虛擬貨幣錢包39款。

此外，研究人員還發現了Inno Stealer 的一個有趣特性：網路管理和資料竊取功能是多執行緒的，所有被盜資料通過 PowerShell 命令複製到使用者的臨時目錄並加密，然後傳送受黑客控制的C2伺服器.。

近來，通過偽造Windows 11升級來竊取資訊的惡意軟體已多次出現，比較典型的是今年2月，RedLine 惡意軟體就曾通過虛假的Windows 11升級網頁來傳播有效載荷，以竊取使用者的敏感資料。