Bleeping Computer 報道稱,已有黑客在利用偽造的 Windows 11 升級安裝包,來引誘毫無戒心的受害者上鉤。為了將戲演得更真一些,當前正在活躍的惡意軟件活動甚至會利用中毒后的搜索結果,來推送一個模仿微軟 Windows 11 促銷頁面的網站。若不幸入套,或被惡意軟件竊取瀏覽器數據和加密貨幣錢包中的資產。
假冒 Windows 11 升級網頁
在推廣 Windows 11 操作系統的同時,微軟也為新平台制定了更加嚴格的安全標準。
如果你用過兼容性檢查工具,就會知道最容易被攔在門外的因素是缺乏 TPM 2.0 可信平台模塊,幾乎將四年前的老設備都攔在了門外。
然而並不是所有人都知曉這一硬性要求,且黑客也很快盯上了這部分想要升級至 Windows 11 的普通用戶。
攻擊部署流程(圖自:CloudSEK)
截止 Bleeping Computer 發稿時,上文提到的假冒 Windows 11 升級網站仍未被有關部門拿下,可知其精心模仿了微軟官方徽標、網站圖標、以及誘人的“立即下載”按鈕。
粗心的訪問者可以通過惡意鏈接獲得一個 ISO 文件,但該文件格式只是為可執行的惡意文件提供了庇護 —— 攻擊者相當奸詐地利用了 Inno Setup Windows Windows 安裝器。
CloudSEK 安全研究人員將之命名為 Inno Stealer,可知這款新型惡意軟件與目前流通的其它信息竊取程序沒有任何代碼上的相似之處,且 CloudSEC 未找到它有被上傳到 Virus Total 掃描平台的證據。
Inno Stealer 感染鏈
基於 Delphi 的加載程序文件,是 ISO 中包含的“Windows 11 setup”可執行文件。它會在啟動時轉儲一個名為 is-PN131.tmp 的臨時文件、並創建另一個 .TMP 文件。
加載程序會在其中寫入 3078KB 的數據,然後利用 CreateProcess Windows API 生成一個新的進程,實現持久駐留並植入四個惡意文件。
具體說來是,攻擊者選擇了通過在 Startup 目錄中添加一個 .LNK(快捷方式)文件,並將 icacls.exe 設置隱藏屬性以實現長期隱蔽。
被 Inno Stealer 盯上的瀏覽器列表
四個被刪除的文件中,有兩個是 Windows 命令腳本 —— 分別用于禁用註冊表安全防護、添加 Defender 排除項、卸載安全產品、以及移除影子卷。
此外研究人員指出,該惡意軟件還會鏟掉 EMSIsoft 和 ESET 的安全解決方案 —— 推測是因為這兩款反病毒軟件的檢出能力更強。
第三個文件是一個以最高系統權限運行的命令執行工具,第四個文件則是運行 dfl.cmd 命令行所需的 VBA 腳本。
被 Inno Stealer 盯上的加密貨幣錢包
在感染的第二階段,惡意軟件會通過一個 .SCR 屏保文件,將自身放入受感染系統的 C:Users\AppDataRoamingWindows11InstallationAssistant 路徑。
它會解包出信息竊取器,並生成一個名為“Windows11InstallationAssistant.scr”的新克隆進程來執行相關代理。
不過這款惡意軟件的功能,倒是沒有玩出其它新的花樣 —— 包括收集 Web 瀏覽器的 cookie 和已保存的憑據、加密貨幣錢包、以及文件系統中的數據。
惡意軟件與命令和控制服務器的通訊記錄截圖
最後可知 Inno Stealer 惡意軟件的攻擊目標相當廣泛,其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等瀏覽器。
所有被盜數據會被通過 PowerShell 命令複製到受感染設備上的臨時目錄並加密處理,然後發送到被攻擊者所控制的 C2 服務器上(windows-server031.com)。
更雞賊的是,攻擊者還會只在夜間執行額外的操作,以利用受害者不在計算機身旁的時間段來鞏固自身的長期隱蔽駐留。
綜上所述,如果你的設備被微軟官方兼容性檢查工具認定不符合 Windows 11 操作系統升級要求,還請不要盲目繞過限制,否則會帶來一系列缺陷和嚴重的安全風險。