查看: 1728|回复: 3
收起左侧

[系统相关] 黑客正利用虚假Windows 11升级引诱受害者上钩

[复制链接]
蓝天二号
发表于 2022-4-20 14:57:05 | 显示全部楼层 |阅读模式
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据和加密货币钱包中的资产。
2c8649957ab47da.jpg
假冒 Windows 11 升级网页

在推广 Windows 11 操作系统的同时,微软也为新平台制定了更加严格的安全标准。

如果你用过兼容性检查工具,就会知道最容易被拦在门外的因素是缺乏 TPM 2.0 可信平台模块,几乎将四年前的老设备都拦在了门外。

然而并不是所有人都知晓这一硬性要求,且黑客也很快盯上了这部分想要升级至 Windows 11 的普通用户。

131a46bb2c208ab.jpg
攻击部署流程(图自:CloudSEK)

截止 Bleeping Computer 发稿时,上文提到的假冒 Windows 11 升级网站仍未被有关部门拿下,可知其精心模仿了微软官方徽标、网站图标、以及诱人的“立即下载”按钮。

粗心的访问者可以通过恶意链接获得一个 ISO 文件,但该文件格式只是为可执行的恶意文件提供了庇护 —— 攻击者相当奸诈地利用了 Inno Setup Windows Windows 安装器。

CloudSEK 安全研究人员将之命名为 Inno Stealer,可知这款新型恶意软件与目前流通的其它信息窃取程序没有任何代码上的相似之处,且 CloudSEC 未找到它有被上传到 Virus Total 扫描平台的证据。
bbaa714e373be20.jpg
Inno Stealer 感染链

基于 Delphi 的加载程序文件,是 ISO 中包含的“Windows 11 setup”可执行文件。它会在启动时转储一个名为 is-PN131.tmp 的临时文件、并创建另一个 .TMP 文件。

加载程序会在其中写入 3078KB 的数据,然后利用 CreateProcess Windows API 生成一个新的进程,实现持久驻留并植入四个恶意文件。

具体说来是,攻击者选择了通过在 Startup 目录中添加一个 .LNK(快捷方式)文件,并将 icacls.exe 设置隐藏属性以实现长期隐蔽。
b18b9b231461474.jpg
被 Inno Stealer 盯上的浏览器列表

四个被删除的文件中,有两个是 Windows 命令脚本 —— 分别用于禁用注册表安全防护、添加 Defender 排除项、卸载安全产品、以及移除影子卷。

此外研究人员指出,该恶意软件还会铲掉 EMSIsoft 和 ESET 的安全解决方案 —— 推测是因为这两款反病毒软件的检出能力更强。

第三个文件是一个以最高系统权限运行的命令执行工具,第四个文件则是运行 dfl.cmd 命令行所需的 VBA 脚本。
3f504da651509fb.jpg
被 Inno Stealer 盯上的加密货币钱包

在感染的第二阶段,恶意软件会通过一个 .SCR 屏保文件,将自身放入受感染系统的 C:\Users\\AppData\Roaming\Windows11InstallationAssistant 路径。

它会解包出信息窃取器,并生成一个名为“Windows11InstallationAssistant.scr”的新克隆进程来执行相关代{过}{滤}理。

不过这款恶意软件的功能,倒是没有玩出其它新的花样 —— 包括收集 Web 浏览器的 cookie 和已保存的凭据、加密货币钱包、以及文件系统中的数据。
6d6f61046cc0036.jpg
恶意软件与命令和控制服务器的通讯记录截图

最后可知 Inno Stealer 恶意软件的攻击目标相当广泛,其中包括了 Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和 Comodo 等浏览器。

所有被盗数据会被通过 PowerShell 命令复制到受感染设备上的临时目录并加密处理,然后发送到被攻击者所控制的 C2 服务器上(windows-server031.com)。

更鸡贼的是,攻击者还会只在夜间执行额外的操作,以利用受害者不在计算机身旁的时间段来巩固自身的长期隐蔽驻留。

综上所述,如果你的设备被微软官方兼容性检查工具认定不符合 Windows 11 操作系统升级要求,还请不要盲目绕过限制,否则会带来一系列缺陷和严重的安全风险。
yl690921
发表于 2022-4-20 16:20:24 | 显示全部楼层
我的破电脑升不了。
长乐
发表于 2022-4-20 17:34:01 | 显示全部楼层
yl690921 发表于 2022-4-20 16:20
我的破电脑升不了。

俺也一样。
wwwab
发表于 2022-4-21 09:28:08 | 显示全部楼层
Ioc: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您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 16:30 , Processed in 0.130855 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表