非官方的Windows 11升级安装了窃取信息的恶意软件黑客目标黑客们用带有恶意软件的Windows 11假升级来引诱

黑客目标

黑客们用带有恶意软件的Windows 11假升级来引诱毫无防备的用户，恶意软件可以窃取浏览器数据和加密货币钱包。

黑客的目标是那些装Windows 11就跳起来，而没有花时间了解该操作系统需要满足某些规格的用户

提供假Windows 11的恶意网站在撰写本文时仍在运行。它的特点是的官方标志，favicons，和一个邀请的“立即下载”按钮

如果访问者通过直接连接加载恶意网站——通过TOR或VPN下载是不可用的，他们将得到一个ISO文件，该文件隐藏了一种新颖的信息窃取恶意软件的可执行文件。

该恶意软件，研究人员将其命名为“Inno Stealer”，因为它使用了Inno安装Windows安装程序。

研究人员表示，Inno Stealer与目前流通的其他商品信息偷窃者没有任何代码相似之处，他们也没有发现该恶意软件被上传到病毒扫描平台的证据。

加载程序文件(基于delphi)是包含在ISO中的“Windows 11设置”可执行文件，它在启动时转储名为is- pn131 .tmp的临时文件，并创建另一个.tmp文件，加载程序在其中写入3,078KB的数据。

持久化是通过在Startup目录中添加一个.Ink快捷方式)文件，并使用icacls.exe设置该文件的访问权限来实现的。

四个被删除的文件中的两个是Windows命令脚本，用于禁用注册表安全性，添加防御例外，卸载安全产品，并删除阴影卷。

据研究人员称，意软件还会移除Emsisoft和ESET的安全解决方可能是因为这些产品将其检测为恶意。

第三个文件是一个命令执行实用程序，它以最高的系统权限运行;第四个是运行dfl.cmd所需的VBA脚本。

在感染的第二阶段，一个扩展名为scr的文件被拖到受损系统的c:\ usersu \AppData\Roaming\Windows11InstallationAssistant目录中。

该文件是信息窃取者有效载荷并通过生成一个名为“Windows11InstallationAssistant”的新进程来执行它的代理Scr”，和它本身一样。

innostealer的能力是这类恶意软件的典型特征，包括网络浏览器cookie和存储的凭证、加密货币钱包中的数据以及文件系统中的数据

被窃取的数据都是通过PowerShell命令复制到用户的临时目录，然后加密，然后发送到操作员的命令和控制服务器(" windows-server031.com ")

偷窃者还可以获取额外的有效载荷，这一行动只在夜间进行，可能是利用受害者不在电脑前的一段时间。