自 Windows 11 系統 2021 年 6 月發布以來,不斷有各種活動欺騙用戶下載惡意的 Windows 11 安裝程序。雖然這種情況在過去一段時間裡有所遏制,但現在又捲土重來,而且破壞力明顯升級。
網絡安全公司 CloudSEK 近日發現了一個新型惡意軟件活動,看起來非常像是微軟的官方網站。由於使用了 Inno Setup Windows 安裝程序,它分發的文件包含研究人員所說的“Inno Stealer”惡意軟件。
惡意網站的URL是“windows11-upgrade11[.com]”,看來 Inno Stealer 活動的威脅者從幾個月前的另一個類似的惡意軟件活動中吸取了經驗,該活動使用同樣的伎倆來欺騙潛在的受害者。
CloudSEK說,在下載受感染的ISO后,多個進程在後台運行,以中和受感染用戶的系統。它創建了Windows命令腳本,以禁用註冊表安全,添加 Defender 例外,卸載安全產品,並刪除陰影卷。
最後,一個.SCR文件被創建,這是一個實際傳遞惡意有效載荷的文件,在這種情況下,新穎的 Inno Stealer 惡意軟件在被感染系統的以下目錄中。惡意軟件有效載荷文件的名稱是”Windows11InstallationAssistant.scr”。