4 月 19 日消息，據(jù) Neowin 報(bào)道，自從?Windows 11?于 2021 年 6 月首次發(fā)布以來(lái)，已經(jīng)有許多活動(dòng)旨在誘使人們下載虛假的惡意 Windows 11 安裝程序，雖然這種活動(dòng)平息了一段時(shí)間，但似乎現(xiàn)在又卷土重來(lái)，這一次，情況可能更加致命。如今 Windows 11 已經(jīng)普遍可用，使其成為當(dāng)今的危險(xiǎn)場(chǎng)景。

CloudSEK 網(wǎng)絡(luò)安全公司發(fā)現(xiàn)了一個(gè)類似性質(zhì)的新惡意軟件，新的冒名頂替網(wǎng)站看起來(lái)像微軟官方網(wǎng)站，但實(shí)際上，由于使用 Inno Setup Windows，分發(fā)的文件包含了“Inno Stealer”惡意軟件安裝程序。這是一種新穎的竊取信息惡意軟件，在 Virus Total 上沒(méi)有發(fā)現(xiàn)類似的樣本。

惡意網(wǎng)站的 URL 是“windows11-upgrade11 [.] com”，似乎 Inno Stealer 活動(dòng)策劃者幾個(gè)月前從另一個(gè)類似惡意軟件活動(dòng)中獲取了頁(yè)面，使用相同的技巧來(lái)欺騙潛在的受害者。

CloudSEK 表示，下載受感染的 ISO 后，會(huì)在后臺(tái)運(yùn)行多個(gè)進(jìn)程以感染用戶的系統(tǒng)。它創(chuàng)建 Windows 命令腳本以禁用注冊(cè)表安全性、添加排除 Defender 、卸載安全產(chǎn)品并刪除 shadow volumes。

最后，會(huì)創(chuàng)建一個(gè) .SCR 文件，該文件是實(shí)際傳遞惡意負(fù)載的文件，在這種情況下，受感染系統(tǒng)出現(xiàn)以下目錄中的新型 Inno Stealer 惡意軟件：

C:\Users\\AppData\Roaming\Windows11InstallationAssistant

惡意軟件負(fù)載文件的名稱是“Windows11InstallationAssistant.scr”。

以下是用圖表解釋的整個(gè)過(guò)程：

CloudSEK 已確定 Inno 信息竊取惡意軟件所追求的目標(biāo)，包括瀏覽器和加密錢包。這些如下圖所示。首先，是瀏覽器，然后是加密錢包：