Похожий на Microsoft поддельный веб-сайт загружает вирус
С тех пор, как в июне 2021 года впервые анонсировали Windows 11, было проведено множество кампаний, направленных на то, чтобы заставить людей загружать поддельные вредоносные установщики операционной системы. В одно время эта активность, казалось, утихла, но похоже, что она снова вернулась.
Фирма по кибербезопасности CloudSEK обнаружила новый веб-сайт-самозванец. Он выглядит как веб-сайт Microsoft, но на самом деле распространяет файлы, содержащие вредоносное ПО, которое исследователи называют «Inno Stealer», из-за использования Inno Setup Windows установщик. Это новое вредоносное ПО для кражи, так как на Virus Total нет аналогичного образца, пишет Neowin.
URL-адрес вредоносного веб-сайта — «windows11-upgrade11[.]com». Похоже, злоумышленники кампании Inno Stealer пару месяцев назад взяли страницу другой аналогичной вредоносной кампании, которая использовала тот же трюк, чтобы обмануть потенциальных жертв. Последний уже был снят на момент написания отчета, но новый все еще висит, поэтому читателям рекомендуется соблюдать осторожность.
CloudSEK говорит, что при загрузке зараженного ISO в фоновом режиме запускается несколько процессов, чтобы нейтрализовать систему зараженного пользователя. Он создает командные сценарии Windows для отключения безопасности реестра, добавляет исключения Windows Defender, удаляет продукты безопасности и удаляет теневые тома.
Наконец, создается файл .SCR, который фактически доставляет вредоносную программу Inno Stealer в следующий каталог скомпрометированной системы:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
Имя файла полезной нагрузки вредоносного ПО — «Windows11InstallationAssistant.scr».
Весь процесс показан на схеме:
CloudSEK определил следующие цели, включая браузеры и криптокошельки, на которые нацелено вредоносное ПО Inno для кражи информации. Они изображены ниже.
Добавим, что официальная ссылка для загрузки Windows доступна на реальном сайте Microsoft.