4 月 19 日消息，據(jù) Neowin 報道，自從 Windows 11 于 2021 年 6 月首次發(fā)布以來，已經(jīng)有許多活動旨在誘使人們下載虛假的惡意 Windows 11 安裝程序。雖然這種活動平息了一段時間，但似乎現(xiàn)在又卷土重來，這一次，情況可能更加致命。如今 Windows 11 已經(jīng)普遍可用，使其成為當(dāng)今的危險場景。

CloudSEK 網(wǎng)絡(luò)安全公司發(fā)現(xiàn)了一個類似性質(zhì)的新惡意軟件，新的冒名頂替網(wǎng)站看起來像微軟官方網(wǎng)站，但實際上，由于使用 Inno Setup Windows，分發(fā)的文件包含了“Inno Stealer”惡意軟件安裝程序。這是一種新穎的竊取信息惡意軟件，在 Virus Total 上沒有發(fā)現(xiàn)類似的樣本。

惡意網(wǎng)站的 URL 是“windows11-upgrade11 [.] com”，似乎 Inno Stealer 活動策劃者幾個月前從另一個類似惡意軟件活動中獲取了頁面，使用相同的技巧來欺騙潛在的受害者。

CloudSEK 表示，下載受感染的 ISO 后，會在后臺運行多個進(jìn)程以感染用戶的系統(tǒng)。它創(chuàng)建 Windows 命令腳本以禁用注冊表安全性、添加排除 Defender 、卸載安全產(chǎn)品并刪除 shadow volumes。

最后，會創(chuàng)建一個 .SCR 文件，該文件是實際傳遞惡意負(fù)載的文件，在這種情況下，受感染系統(tǒng)出現(xiàn)以下目錄中的新型 Inno Stealer 惡意軟件：

惡意軟件負(fù)載文件的名稱是“Windows11InstallationAssistant.scr”。

以下是用圖表解釋的整個過程：

CloudSEK 已確定 Inno 信息竊取惡意軟件所追求的目標(biāo)，包括瀏覽器和加密錢包。這些如下圖所示。首先，是瀏覽器，然后是加密錢包

關(guān)鍵詞：