Fałszywa aktualizacja do Windows 11 instaluje złośliwe oprogramowanie

Fałszywa aktualizacja do Windows 11 instaluje złośliwe oprogramowanie

 Krzysztof Sulikowski
Krzysztof Sulikowski
15:01
22.04.2022
1686 wyświetleń

Fałszywe instalatory i strony internetowe podszywające się pod "legitne" produkty Microsoftu i innych zaufanych wydawców od lat zbierają żniwo, skłaniając nieświadomych użytkowników do ich uruchamiania. Z pozoru wyglądają niemal identycznie jak oryginały, ale zwykle wystarczy rzut oka, by zauważyć nieprawidłowości.

Ostatnio głośno się zrobiło o kolejnym tego typu projekcie. Jest to fałszywa strona zachęcająca do upgrade'u do Windows 11. Z wyglądu przypomina ona oryginalną stronę Microsoftu (https://www.microsoft.com/pl-pl/windows/get-windows-11), jednak jej adres i zawartość są już inne. Podczas gdy z prawowitej strony pobieramy narzędzie do sprawdzenia zgodności z systemem Windows 11, ta fałszywa pomija ten krok i od razu oferuje pobranie systemu. W rzeczywistości jest to jednak malware wykradające informacje (tzw. "information stealer"), takie jak dane przeglądarki czy portfele kryptowalut. Adres fałszywej strony to "windows11-upgrade11[.]com/download".

Łańcuch infekcji Inno Stealer (źródło: CloudSEK)

Jeśli odwiedzający wejdzie na stronę w bezpośrednim połączeniu (VPN i TOR nie są obsługiwane) i pobierze plik ISO, będzie on zawierał plik wykonywalny ze wspomnianym złośliwym oprogramowaniem nazywanym przez badaczy "Inno Stealer". Jego kod nie przypomina innych programów wykradających dane. Po uruchomieniu instalator tworzy plik i folder tymczasowy, uruchamia nowy proces w Windows API do ładowania kolejnych procesów, zapewnienia sobie trwałości i ładowania plików. Część z nich wyłącza zabezpieczenia w rejestrze, dodaje wyjątki do Microsoft Defendera, odinstalowuje produkty chroniące i usuwa tzw. "shadow volume".

Po kilku kolejnych krokach "Inno Stealer" jest w stanie wykradać pliki cookies i zachowane dane uwierzytelniania z przeglądarki, dane z portfeli kryptowalut oraz dane z systemu plików. Lista przeglądarek i portfeli jest obszerna i obejmuje Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser i Comodo.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.bleepingcomputer.com/news/security/unofficial-windows-11-upgrade-installs-info-stealing-malware/

Polecamy również w kategorii Bezpieczeństwo