20/04/22
Киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки.
Вредоносная кампания в настоящее время еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».
Если пользователь зашел на сайт через непосредственное подключение – загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.
Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.
Файл загрузчика на Delphi представляет собой исполняемый файл «Windows 11 setup». После запуска он удаляет временный файл is-PN131.tmp и создает новый файл .TMP, куда записывает 3078 КБ данных.
С помощью CreateProcess Windows API вредонос создает новые процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестраy, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.
Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл – VBA-скрипт, необходимый для запуска dfl.cmd.
На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.
С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).
