安全人员发现新的虚假“微软 win11 下载网站”,包含恶意病毒安装程序 -凯发k8

2022-04-19 09:47it之家 (潇公子)

it之家 4 月 19 日消息,据 neowin 报道,自从 windows 11 于 2021 年 6 月首次发布以来,已经有许多活动旨在诱使人们下载虚假的恶意 windows 11 安装程序。虽然这种活动平息了一段时间,但似乎现在又卷土重来,这一次,情况可能更加致命。如今 windows 11 已经普遍可用,使其成为当今的危险场景。

cloudsek 网络安全公司发现了一个类似性质的新恶意软件,新的冒名顶替网站看起来像微软官方网站,但实际上,由于使用 inno setup windows,分发的文件包含了“inno stealer”恶意软件安装程序。这是一种新颖的窃取信息恶意软件,在 virus total 上没有发现类似的样本。

恶意网站的 url 是“windows11-upgrade11 [.] com”,似乎 inno stealer 活动策划者几个月前从另一个类似恶意软件活动中获取了页面,使用相同的技巧来欺骗潜在的受害者。

cloudsek 表示,下载受感染的 iso 后,会在后台运行多个进程以感染用户的系统。它创建 windows 命令脚本以禁用注册表安全性、添加排除 defender 、卸载安全产品并删除 shadow volumes。

最后,会创建一个 .scr 文件,该文件是实际传递恶意负载的文件,在这种情况下,受感染系统出现以下目录中的新型 inno stealer 恶意软件:

c:\users\\appdata\roaming\windows11installationassistant

恶意软件负载文件的名称是“windows11installationassistant.scr”。

以下是用图表解释的整个过程:

cloudsek 已确定 inno 信息窃取恶意软件所追求的目标,包括浏览器和加密钱包。这些如下图所示。首先,是浏览器,然后是加密钱包:

文章价值:分
人打分
有价值还可以无价值
置顶评论
热门评论
全部评论
一大波评论正在路上
取消发送
软媒旗下人气应用

如点击保存海报无效,请长按图片进行保存分享