По информации Bleeping Computer, злоумышленники через поддельный сайт для установки Windows 11 распространяли вредоносное ПО. Внутри предлагаемого для скачивания ISO-файла был целый комплект вредоносов. Сайт располагался по адресу windows11-upgrade11.com (на данный момент он недоступен) и рекламировал простой и быстрый переход на Windows 11 нажатием одной кнопки. В его интерфейсе и шапке были скопированы официальные логотипы и основные элементы сайта Microsoft для притупления внимания пользователей.
Примечательно, что фактически с сайта проводилась таргетированная атака на каждого пользователя, кто нажимал кнопку «Скачать Windows 11». Файл для скачивания генерировался только в том случае, если на сайт заходила жертва через прямое соединение, загрузка блокировалась при входе на сайт через TOR или VPN.
В комплект вредоносного ПО входили стилеры данных, вирусы и другие вредоносные вложения.
ИБ-исследователи из CloudSEK проанализировали вредоносное ПО и выпустили технический отчет о том, что же получал невнимательный пользователь. Они назвали эту сборку Inno Stealer из-за того, что злоумышленники использовали для ее распространения установщик Inno Setup для Windows. Большинство антивирусов даже не ругалось на это ПО, его сигнатур ранее не было обнаружено на Virus Total.
После скачивания файла и запуска его в системе вредоносное ПО использует несколько механизмов для получения необходимых прав для записи в системные папки, запускает скрипты для отключения защиты и безопасности реестра ОС, добавляет себя в список исключений Windows Defender, вредоносное ПО также удаляет защитное ПО от Emsisoft и ESET, вероятно, потому, что эти продукты определяют его как вредоносное.
После выполнения подготовительных скриптов в системе запускается специальная утилита, работающая с наивысшими системными привилегиями и VBA-скрипт, необходимый для запуска dfl.cmd. Далее в скомпрометированной системе загружается и запускается файл Windows11InstallationAssistant.scr. Этот файл является агентом, который содержит и распаковывает код стилера данных и выполняет его.
Исследователи обнаружили, что возможности Inno Stealer типичны для такого рода вредоносных программ, включая сбор файлов cookie от различных веб-браузеров (Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser и Comodo) и сохраненных учетных данных, копирование информации из криптовалютных кошельков и данных пользователя из других мест внутри ОС.
Список браузеров, которые проверяет Inno Stealer.
Список криптовалютных кошельков, которые проверяет Inno Stealer.
Интересной особенностью Inno Stealer является то, что реализация механизма управления сетью и функции кражи и копирования данных сделана в многопоточным режиме. Все украденные данные ПК копируются с помощью скрипта и команд PowerShell во временный каталог в папке пользователя, шифруются, а затем отправляются на сервер управления и контроля оператору вредоноса на адрес windows-server031.com. Также зловред может незаметно копировать и накапливать данные из буфера обмена и скрытно искать информацию на внешних дисках и подключенных к системе устройствах.
Эксперты настоятельно советуют не доверять любому сайту с рекламой и предложением по распространению или обновлению Windows 11, кроме официальной площадки Microsoft.
