Fałszywe instalatory i strony internetowe podszywające się pod "legitne" produkty Microsoftu i innych zaufanych wydawców od lat zbierają żniwo, skłaniając nieświadomych użytkowników do ich uruchamiania. Z pozoru wyglądają niemal identycznie jak oryginały, ale zwykle wystarczy rzut oka, by zauważyć nieprawidłowości.
Ostatnio głośno się zrobiło o kolejnym tego typu projekcie. Jest to fałszywa strona zachęcająca do upgrade'u do Windows 11. Z wyglądu przypomina ona oryginalną stronę Microsoftu (https://www.microsoft.com/pl-pl/windows/get-windows-11), jednak jej adres i zawartość są już inne. Podczas gdy z prawowitej strony pobieramy narzędzie do sprawdzenia zgodności z systemem Windows 11, ta fałszywa pomija ten krok i od razu oferuje pobranie systemu. W rzeczywistości jest to jednak malware wykradające informacje (tzw. "information stealer"), takie jak dane przeglądarki czy portfele kryptowalut. Adres fałszywej strony to "windows11-upgrade11[.]com/download".
Jeśli odwiedzający wejdzie na stronę w bezpośrednim połączeniu (VPN i TOR nie są obsługiwane) i pobierze plik ISO, będzie on zawierał plik wykonywalny ze wspomnianym złośliwym oprogramowaniem nazywanym przez badaczy "Inno Stealer". Jego kod nie przypomina innych programów wykradających dane. Po uruchomieniu instalator tworzy plik i folder tymczasowy, uruchamia nowy proces w Windows API do ładowania kolejnych procesów, zapewnienia sobie trwałości i ładowania plików. Część z nich wyłącza zabezpieczenia w rejestrze, dodaje wyjątki do Microsoft Defendera, odinstalowuje produkty chroniące i usuwa tzw. "shadow volume".
Po kilku kolejnych krokach "Inno Stealer" jest w stanie wykradać pliki cookies i zachowane dane uwierzytelniania z przeglądarki, dane z portfeli kryptowalut oraz dane z systemu plików. Lista przeglądarek i portfeli jest obszerna i obejmuje Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser i Comodo.
341f31d.png)