假冒 Windows 11 升級網(wǎng)頁

在推廣 Windows 11 操作系統(tǒng)的同時，微軟也為新平臺制定了更加嚴(yán)格的安全標(biāo)準(zhǔn)。

如果你用過兼容性檢查工具，就會知道最容易被攔在門外的因素是缺乏 TPM 2.0 可信平臺模塊，幾乎將四年前的老設(shè)備都攔在了門外。

然而并不是所有人都知曉這一硬性要求，且黑客也很快盯上了這部分想要升級至 Windows 11 的普通用戶。

攻擊部署流程（圖自：CloudSEK）

截止 Bleeping Computer 發(fā)稿時，上文提到的假冒 Windows 11 升級網(wǎng)站仍未被有關(guān)部門拿下，可知其精心模仿了微軟官方徽標(biāo)、網(wǎng)站圖標(biāo)、以及誘人的“立即下載”按鈕。

粗心的訪問者可以通過惡意鏈接獲得一個 ISO 文件，但該文件格式只是為可執(zhí)行的惡意文件提供了庇護(hù) —— 攻擊者相當(dāng)奸詐地利用了 Inno Setup Windows Windows 安裝器。

CloudSEK 安全研究人員將之命名為 Inno Stealer，可知這款新型惡意軟件與目前流通的其它信息竊取程序沒有任何代碼上的相似之處，且 CloudSEC 未找到它有被上傳到 Virus Total 掃描平臺的證據(jù)。

Inno Stealer 感染鏈

基于 Delphi 的加載程序文件，是 ISO 中包含的“Windows 11 setup”可執(zhí)行文件。它會在啟動時轉(zhuǎn)儲一個名為 is-PN131.tmp 的臨時文件、并創(chuàng)建另一個 .TMP 文件。

加載程序會在其中寫入 3078KB 的數(shù)據(jù)，然后利用 CreateProcess Windows API 生成一個新的進(jìn)程，實(shí)現(xiàn)持久駐留并植入四個惡意文件。

具體說來是，攻擊者選擇了通過在 Startup 目錄中添加一個 .LNK（快捷方式）文件，并將 icacls.exe 設(shè)置隱藏屬性以實(shí)現(xiàn)長期隱蔽。

被 Inno Stealer 盯上的瀏覽器列表

四個被刪除的文件中，有兩個是 Windows 命令腳本 —— 分別用于禁用注冊表安全防護(hù)、添加 Defender 排除項(xiàng)、卸載安全產(chǎn)品、以及移除影子卷。

此外研究人員指出，該惡意軟件還會鏟掉 EMSIsoft 和 ESET 的安全解決方案 —— 推測是因?yàn)檫@兩款反病毒軟件的檢出能力更強(qiáng)。

第三個文件是一個以最高系統(tǒng)權(quán)限運(yùn)行的命令執(zhí)行工具，第四個文件則是運(yùn)行 dfl.cmd 命令行所需的 VBA 腳本。

被 Inno Stealer 盯上的加密貨幣錢包

在感染的第二階段，惡意軟件會通過一個 .SCR 屏保文件，將自身放入受感染系統(tǒng)的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路徑。

它會解包出信息竊取器，并生成一個名為“Windows11InstallationAssistant.scr”的新克隆進(jìn)程來執(zhí)行相關(guān)代理。

不過這款惡意軟件的功能，倒是沒有玩出其它新的花樣 —— 包括收集 Web 瀏覽器的 cookie 和已保存的憑據(jù)、加密貨幣錢包、以及文件系統(tǒng)中的數(shù)據(jù)。

惡意軟件與命令和控制服務(wù)器的通訊記錄截圖

最后可知 Inno Stealer 惡意軟件的攻擊目標(biāo)相當(dāng)廣泛，其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等瀏覽器。

所有被盜數(shù)據(jù)會被通過 PowerShell 命令復(fù)制到受感染設(shè)備上的臨時目錄并加密處理，然后發(fā)送到被攻擊者所控制的 C2 服務(wù)器上（windows-server031.com）。

更雞賊的是，攻擊者還會只在夜間執(zhí)行額外的操作，以利用受害者不在計算機(jī)身旁的時間段來鞏固自身的長期隱蔽駐留。

綜上所述，如果你的設(shè)備被微軟官方兼容性檢查工具認(rèn)定不符合 Windows 11 操作系統(tǒng)升級要求，還請不要盲目繞過限制，否則會帶來一系列缺陷和嚴(yán)重的安全風(fēng)險。