新的虚假升级网站再现!Win11已成恶意软件的“香饽饽”
source link: https://netsecurity.51cto.com/article/706909.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
据Bleeping Computer网站消息,研究人员又发现黑客利用伪造的Windows 11系统升级来传播恶意软件的攻击事件,目标是窃取用户的浏览器数据甚至加密货币钱包。
Microsoft官方在提供Windows 11升级时会为用户提供升级工具,以检查其设备是否具备升级条件。但黑客利用了部分用户懒于确认自身设备的硬件信息,通过炮制一个看似官方的升级页面,放置“立即下载”按钮诱导用户不加思索地上钩。
伪造的WIndows 11升级网站
根据CloudSEK的威胁研究人员的分析,这是一种新型恶意软件,因使用了 Inno Setup Windows 安装程序,而被称为“Inno Stealer”。研究人员表示,Inno Stealer 与目前其他信息窃取程序代码没有任何相似之处,也没有发现该恶意软件被上传到 Virus Total 平台。
当受害者下载后,会获得一个包含恶意软件的ISO文件,Inno Stealer通过 ISO 中包含的“Windows 11 setup”可执行文件进行加载,使用 CreateProcess Windows API 生成一个新进程,并植入4个恶意脚本以删除注册表安全、绕过Defender防护、卸载相关安全软件。
至于Inno Stealer的功能,则包括收集 Web 浏览器 cookie 和存储的凭证、加密货币钱包中的数据以及文件系统中的数据。研究人员列出了可被针对的WEB浏览器35款,加密货币钱包39款。
Inno Stealer所针对的35款浏览器
Inno Stealer所针对的39款加密货币钱包
此外,研究人员还发现了Inno Stealer 的一个有趣特性:网络管理和数据窃取功能是多线程的,所有被盗数据通过 PowerShell 命令复制到用户的临时目录并加密,然后发送受黑客控制的C2服务器.。
近来,通过伪造Windows 11升级来窃取信息的恶意软件已多次出现,比较典型的是今年2月,RedLine 恶意软件就曾通过虚假的Windows 11升级网页来传播有效载荷,以窃取用户的敏感数据。
参考来源:https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK