Win11再现虚假升级网站

Win11再现虚假升级网站

Win11再现虚假升级网站，新的冒名顶替网站看起来像微软官方网站，但实际上，分发的文件包含恶意软件安装程序，这是一种新颖的窃取信息恶意软件，Win11再现虚假升级网站。

据Bleeping Computer网站消息，研究人员又发现黑客利用伪造的Windows 11系统升级来传播恶意软件的攻击事件，目标是窃取用户的浏览器数据甚至虚拟货币钱包。

Microsoft官方在提供Windows 11升级时会为用户提供升级工具，以检查其设备是否具备升级条件。但黑客利用了部分用户懒于确认自身设备的硬件信息，通过炮制一个看似官方的升级页面，放置“立即下载”按钮诱导用户不加思索地上钩。

伪造的WIndows 11升级网站

根据CloudSEK的威胁研究人员的分析，这是一种新型恶意软件，因使用了 Inno Setup Windows 安装程序，而被称为“Inno Stealer”。研究人员表示，Inno Stealer 与目前其他信息窃取程序代码没有任何相似之处，也没有发现该恶意软件被上传到 Virus Total 平台。

当受害者下载后，会获得一个包含恶意软件的ISO文件，Inno Stealer通过 ISO 中包含的“Windows 11 setup”可执行文件进行加载，使用 CreateProcess Windows API 生成一个新 ……此处隐藏205个字……t.scr”。

以下是用图表解释的整个过程：

CloudSEK 已确定 Inno 信息窃取恶意软件所追求的目标，包括浏览器和加密钱包。

自 Windows 11 系统 2021 年 6 月发布以来，不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制，但现在又卷土重来，而且破坏力明显升级。

网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动，看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序，它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。

恶意网站的URL是“windows11-upgrade11[.com]”，看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验，该活动使用同样的伎俩来欺骗潜在的受害者。

CloudSEK说，在下载受感染的ISO后，多个进程在后台运行，以中和受感染用户的系统。它创建了Windows命令脚本，以禁用注册表安全，添加 Defender 例外，卸载安全产品，并删除阴影卷。

最后，一个.SCR文件被创建，这是一个实际传递恶意有效载荷的文件，在这种情况下，新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是"Windows11InstallationAssistant.scr"。