Хакеры заманивают ничего не подозревающих пользователей поддельным обновлением Windows 11, которое поставляется с вредоносным ПО, которое крадет данные браузера и криптовалютные кошельки.
Кампания в настоящее время активна и основана на отравлении результатов поиска, чтобы продвигать веб-сайт, имитирующий рекламную страницу Microsoft для Windows 11, чтобы предложить похититель информации.
Microsoft предлагает пользователям инструмент обновления, чтобы проверить, поддерживает ли их машина последнюю операционную систему (ОС) от компании. Одним из требований является поддержка Trusted Platform Module (TPM) версии 2.0, которая присутствует на компьютерах не старше четырех лет.
Хакеры охотятся на пользователей, которые спешат установить Windows 11, не тратя время на то, чтобы узнать, что ОС должна соответствовать определенным спецификациям.
На момент написания статьи вредоносный веб-сайт, предлагающий поддельную Windows 11, все еще работал. Он содержит официальные логотипы Microsoft, значки и кнопку «Загрузить сейчас».
Вредоносный веб-сайт, использованный в кампании (windows11-upgrade11[.]com)
Если посетитель загружает вредоносный веб-сайт через прямое соединение (загрузка через TOR или VPN невозможна), он получит ISO-файл, в котором хранится исполняемый файл нового вредоносного ПО для кражи информации.
Исследователи угроз из CloudSEK проанализировали вредоносное ПО и поделились техническим отчетом исключительно с BleepingComputer.
Процесс заражения
Согласно CloudSEK, участники этой кампании используют новое вредоносное ПО, которое исследователи назвали «Inno Stealer» из-за того, что оно использует установщик Inno Setup для Windows.Исследователи говорят, что Inno Stealer не имеет никакого сходства кода с другими товарными программами для кражи информации, которые в настоящее время находятся в обращении, и они не нашли доказательств загрузки вредоносного ПО на платформу сканирования Virus Total.
Файл загрузчика (на основе Delphi) представляет собой исполняемый файл «установки Windows 11», содержащийся в ISO-образе, который при запуске создает дамп временного файла с именем is-PN131.tmp и создает другой файл .TMP, в который загрузчик записывает 3078 КБ данных. .
CloudSEK объясняет, что загрузчик создает новый процесс с помощью Windows API CreateProcess , который помогает создавать новые процессы, устанавливать постоянство и размещать четыре файла.
Постоянство достигается путем добавления файла .LNK (ярлык) в каталог автозагрузки и использования icacls.exe для установки разрешений доступа для скрытности.
Создание процесса для установления постоянства (CloudSEK)
Два из четырех удаленных файлов представляют собой командные сценарии Windows для отключения безопасности реестра, добавления исключений Защитника, удаления продуктов безопасности и удаления теневого тома.
По словам исследователей, вредоносное ПО также удаляет решения безопасности от Emsisoft и ESET, вероятно, потому, что эти продукты определяют его как вредоносное.
Третий файл — это утилита выполнения команд, работающая с наивысшими системными привилегиями; а четвертый — это сценарий VBA, необходимый для запуска dfl.cmd .
На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant скомпрометированной системы закидывается файл с расширением .SCR.
Этот файл является агентом, который распаковывает полезную нагрузку похитителя информации и выполняет ее, порождая новый процесс с именем «Windows11InstallationAssistant.scr», такой же, как и он сам.
Цепочка заражения Inno Stealer (CloudSEK)
Возможности Inno Stealer
Возможности Inno Stealer типичны для такого рода вредоносных программ, включая сбор файлов cookie веб-браузера и сохраненных учетных данных, данных в криптовалютных кошельках и данных из файловой системы.Набор целевых браузеров и криптокошельков обширен, включая Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser и Comodo.
Веб-браузеры, на которые нацелен Inno Stealer (CloudSEK)
Криптовалютные кошельки, на которые нацелен Inno Stealer (CloudSEK)
Интересной особенностью Inno Stealer является то, что управление сетью и функции кражи данных являются многопоточными.
Все украденные данные копируются с помощью команды PowerShell в каталог temporay пользователя, шифруются, а затем отправляются на сервер управления и контроля оператора («windows-server031.com»).
Взаимодействие вредоносных программ с C2 (CloudSEK)
Похититель также может получить дополнительную полезную нагрузку, действие, выполняемое только в ночное время, возможно, чтобы воспользоваться периодом, когда жертва не находится за компьютером.
Эти дополнительные полезные нагрузки Delphi, которые принимают форму TXT-файлов, используют тот же загрузчик на основе Inno, который работает с инструментами безопасности хоста, и используют тот же механизм установления постоянства.
Их дополнительные возможности включают кражу информации из буфера обмена и эксфильтрацию данных перечисления каталогов.
Совет по безопасности
Вся ситуация с обновлением Windows 11 создала благодатную почву для распространения этих кампаний, и это не первый случай , когда сообщается о чем-то подобном.Рекомендуется избегать загрузки файлов ISO из неизвестных источников и выполнять основные обновления ОС только из панели управления Windows 10 или получать установочные файлы прямо из источника .
Если обновление до Windows 11 для вас недоступно, нет смысла пытаться обойти ограничения вручную, так как это сопряжено с рядом недостатков и серьезными рисками для безопасности.
- Перевод - Google
- Bleeping Computer