Bleeping Computer 報(bào)道稱(chēng)，已有黑客在利用偽造的 Windows 11 升級(jí)安裝包，來(lái)引誘毫無(wú)戒心的受害者上鉤。為了將戲演得更真一些，當(dāng)前正在活躍的惡意軟件活動(dòng)甚至?xí)弥卸竞蟮乃阉鹘Y(jié)果，來(lái)推送一個(gè)模仿微軟 Windows 11 促銷(xiāo)頁(yè)面的網(wǎng)站。若不幸入套，或被惡意軟件竊取瀏覽器數(shù)據(jù)和加密貨幣錢(qián)包中的資產(chǎn)。

假冒 Windows11 升級(jí)網(wǎng)頁(yè)

在推廣 Windows 11 操作系統(tǒng)的同時(shí)，微軟也為新平臺(tái)制定了更加嚴(yán)格的安全標(biāo)準(zhǔn)。

如果你用過(guò)兼容性檢查工具，就會(huì)知道最容易被攔在門(mén)外的因素是缺乏 TPM 2.0 可信平臺(tái)模塊，幾乎將四年前的老設(shè)備都攔在了門(mén)外。

然而并不是所有人都知曉這一硬性要求，且黑客也很快盯上了這部分想要升級(jí)至 Windows 11 的普通用戶(hù)。

攻擊部署流程(圖自：CloudSEK)

截止 Bleeping Computer發(fā)稿時(shí)，上文提到的假冒 Windows 11 升級(jí)網(wǎng)站仍未被有關(guān)部門(mén)拿下，可知其精心模仿了微軟官方徽標(biāo)、網(wǎng)站圖標(biāo)、以及誘人的“立即下載”按鈕。

粗心的訪問(wèn)者可以通過(guò)惡意鏈接獲得一個(gè) ISO 文件，但該文件格式只是為可執(zhí)行的惡意文件提供了庇護(hù) —— 攻擊者相當(dāng)奸詐地利用了 Inno Setup Windows Windows 安裝器。

CloudSEK安全研究人員將之命名為 Inno Stealer，可知這款新型惡意軟件與目前流通的其它信息竊取程序沒(méi)有任何代碼上的相似之處，且 CloudSEC 未找到它有被上傳到 Virus Total 掃描平臺(tái)的證據(jù)。

Inno Stealer 感染鏈

基于 Delphi 的加載程序文件，是 ISO 中包含的“Windows 11 setup”可執(zhí)行文件。它會(huì)在啟動(dòng)時(shí)轉(zhuǎn)儲(chǔ)一個(gè)名為 is-PN131.tmp 的臨時(shí)文件、并創(chuàng)建另一個(gè) .TMP 文件。

加載程序會(huì)在其中寫(xiě)入 3078KB 的數(shù)據(jù)，然后利用 CreateProcess Windows API 生成一個(gè)新的進(jìn)程，實(shí)現(xiàn)持久駐留并植入四個(gè)惡意文件。

具體說(shuō)來(lái)是，攻擊者選擇了通過(guò)在 Startup 目錄中添加一個(gè) .LNK(快捷方式)文件，并將 icacls.exe 設(shè)置隱藏屬性以實(shí)現(xiàn)長(zhǎng)期隱蔽。

被 Inno Stealer 盯上的瀏覽器列表

四個(gè)被刪除的文件中，有兩個(gè)是 Windows 命令腳本 —— 分別用于禁用注冊(cè)表安全防護(hù)、添加 Defender 排除項(xiàng)、卸載安全產(chǎn)品、以及移除影子卷。

此外研究人員指出，該惡意軟件還會(huì)鏟掉 EMSIsoft 和 ESET 的安全解決方案 —— 推測(cè)是因?yàn)檫@兩款反病毒軟件的檢出能力更強(qiáng)。

第三個(gè)文件是一個(gè)以最高系統(tǒng)權(quán)限運(yùn)行的命令執(zhí)行工具，第四個(gè)文件則是運(yùn)行 dfl.cmd 命令行所需的 VBA 腳本。

被 Inno Stealer 盯上的加密貨幣錢(qián)包

在感染的第二階段，惡意軟件會(huì)通過(guò)一個(gè) .SCR 屏保文件，將自身放入受感染系統(tǒng)的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路徑。

它會(huì)解包出信息竊取器，并生成一個(gè)名為“Windows11InstallationAssistant.scr”的新克隆進(jìn)程來(lái)執(zhí)行相關(guān)代理。

不過(guò)這款?lèi)阂廛浖墓δ?，倒是沒(méi)有玩出其它新的花樣 —— 包括收集 Web 瀏覽器的 cookie 和已保存的憑據(jù)、加密貨幣錢(qián)包、以及文件系統(tǒng)中的數(shù)據(jù)。

惡意軟件與命令和控制服務(wù)器的通訊記錄截圖

最后可知 Inno Stealer 惡意軟件的攻擊目標(biāo)相當(dāng)廣泛，其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等瀏覽器。

所有被盜數(shù)據(jù)會(huì)被通過(guò) PowerShell 命令復(fù)制到受感染設(shè)備上的臨時(shí)目錄并加密處理，然后發(fā)送到被攻擊者所控制的 C2 服務(wù)器上(windows-server031.com)。

更雞賊的是，攻擊者還會(huì)只在夜間執(zhí)行額外的操作，以利用受害者不在計(jì)算機(jī)身旁的時(shí)間段來(lái)鞏固自身的長(zhǎng)期隱蔽駐留。

綜上所述，如果你的設(shè)備被微軟官方兼容性檢查工具認(rèn)定不符合 Windows 11 操作系統(tǒng)升級(jí)要求，還請(qǐng)不要盲目繞過(guò)限制，否則會(huì)帶來(lái)一系列缺陷和嚴(yán)重的安全風(fēng)險(xiǎn)。