Лучшие новости о вредоносном ПО с поддельным обновлением Windows 11
Хакеры заманивают ничего не подозревающих пользователей поддельным обновлением Windows 11, которое поставляется с вредоносным ПО, крадущим данные браузера и криптовалютные кошельки.
Кампания в настоящее время активна и основана на отравлении результатов поиска, чтобы продвигать веб-сайт, имитирующий рекламную страницу Microsoft для Windows 11, чтобы предложить своё обновление, похищающее информацию.
Microsoft предлагает пользователям инструмент обновления, чтобы проверить, поддерживает ли их машина последнюю операционную систему (ОС) от компании. Одним из требований является поддержка Trusted Platform Module (TPM) версии 2.0, которая присутствует на компьютерах не старше четырех лет.
На фоне этого хакеры охотятся на пользователей, которые спешат установить Windows 11, не тратя время на то, чтобы узнать, что ОС должна соответствовать определенным спецификациям.
На момент написания статьи вредоносный веб-сайт, предлагающий поддельную Windows 11, все еще работал. Он содержит официальные логотипы Microsoft, значки и кнопку «Загрузить сейчас».
Если посетитель загружает вредоносный веб-сайт через прямое соединение (загрузка через TOR или VPN невозможна), он получит ISO-файл, в котором хранится исполняемый файл нового вредоносного ПО для кражи информации.
Исследователи угроз из CloudSEK проанализировали вредоносное ПО и поделились техническим отчетом с BleepingComputer.
Согласно CloudSEK, участники этой кампании используют новое вредоносное ПО, которое исследователи назвали «Inno Stealer» из-за того, что оно использует установщик Inno Setup для Windows.
Исследователи говорят, что Inno Stealer не имеет никакого сходства кода с другими товарными программами для кражи информации, которые в настоящее время находятся в обращении, и они не нашли доказательств загрузки вредоносного ПО на платформу сканирования Virus Total.
Файл загрузчика (на основе Delphi) представляет собой исполняемый файл «установки Windows 11», содержащийся в ISO-образе, который при запуске создает дамп временного файла с именем is-PN131.tmp и ещё создает другой файл TMP, куда загрузчик записывает 3078 КБ данных.
CloudSEK объясняет, что загрузчик создает новый процесс с помощью Windows API CreateProcess, который помогает создавать новые процессы, устанавливать постоянство и размещать четыре файла. Постоянство достигается путем добавления файла LNK (ярлык) в каталог автозагрузки и использования icacls.exe для установки прав доступа для скрытности.
Два из четырех удалённых файлов представляют собой командные сценарии Windows для отключения безопасности реестра, добавления исключений Защитника, удаления продуктов безопасности и удаления теневого тома.
По словам специалистов, вредоносное ПО также удаляет решения безопасности от Emsisoft и ESET, вероятно, потому что эти продукты определяют его как вредоносное.
Третий файл – это утилита выполнения команд, работающая с наивысшими системными привилегиями. А четвёртый – сценарий VBA, необходимый для запуска dfl.cmd.
Информационный источник для Лучше новости
Читайте также: Не Windows единым: как Microsoft будет уходить из России
