ГИС

Мошенники распространяют инфостилер под видом обновления Windows 11

20.04.2022
Мошенники распространяют инфостилер под видом обновления Windows 11

Киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки, сообщает SecurityLab.

Вредоносная кампания в настоящее время еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».

Если пользователь зашел на сайт через непосредственное подключение – загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.

Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.

Файл загрузчика на Delphi представляет собой исполняемый файл «Windows 11 setup». После запуска он удаляет временный файл is-PN131.tmp и создает новый файл .TMP, куда записывает 3078 КБ данных.

С помощью CreateProcess Windows API вредонос создает новые процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестраy, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.

Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл – VBA-скрипт, необходимый для запуска dfl.cmd.

На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAssistant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.

С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).