Μία fake αναβάθμιση για τα Windows 11 που συνοδεύεται από κακόβουλο λογισμικό το οποίο κλέβει δεδομένα προγράμματος περιήγησης και πορτοφόλια κρυπτονομισμάτων, χρησιμοποιείται από hackers για να δελεάσουν ανυποψίαστους χρήστες.
Δείτε επίσης: Νέα χαρακτηριστικά έρχονται σύντομα στα Windows 11
Η καμπάνια χρησιμοποιεί αποτελέσματα αναζήτησης για να προωθήσει έναν ιστότοπο που μιμείται την προωθητική σελίδα της Microsoft για τα Windows 11, από όπου προσφέρει το λογισμικό κλοπής πληροφοριών.
Η Microsoft προσφέρει ένα εργαλείο αναβάθμισης, ώστε οι χρήστες της να μπορούν να ελέγχουν για τα πιο πρόσφατα λειτουργικά συστήματα (OS) της εταιρείας. Το εργαλείο απαιτεί ωστόσο υποστήριξη για το Trusted Platform Module (TPM) έκδοση 2.0, που υπάρχει σε μηχανήματα που δεν είναι παλαιότερα των τεσσάρων ετών.
Οι hackers στοχεύουν τους χρήστες που προχωρούν αμέσως στην εγκατάσταση των Windows 11, χωρίς πρώτα να ελέγξουν αν το λειτουργικό σύστημα πληροί ορισμένες προδιαγραφές.
Ο κακόβουλος ιστότοπος που προσφέρει τη fake αναβάθμιση των Windows 11 εξακολουθεί να είναι ενεργός. Διαθέτει τα επίσημα λογότυπα της Microsoft και ένα ελκυστικό κουμπί “Λήψη τώρα”.
Εάν ο επισκέπτης φορτώσει τον κακόβουλο ιστότοπο μέσω απευθείας σύνδεσης (η λήψη δεν είναι διαθέσιμη μέσω TOR ή VPN), θα λάβει ένα αρχείο ISO που υποτίθεται ότι προστατεύει το εκτελέσιμο αρχείο από ένα νέο κακόβουλο λογισμικό που κλέβει πληροφορίες.
Σύμφωνα με τους ερευνητές της CloudSEK, οι κακόβουλοι παράγοντες πίσω από αυτήν την καμπάνια χρησιμοποιούν ένα νέο κακόβουλο λογισμικό που οι ερευνητές ονόμασαν “Inno Stealer” λόγω της χρήσης του προγράμματος εγκατάστασης των Windows, Inno Setup.
Οι ερευνητές λένε ότι το Inno Stealer δεν έχει ομοιότητες κώδικα με άλλα προϊόντα κλοπής πληροφοριών που κυκλοφορούν αυτήν τη στιγμή και δεν έχουν βρει στοιχεία που να αποδεικνύουν ότι το κακόβουλο λογισμικό μεταφορτώνεται στην πλατφόρμα σάρωσης Virus Total.
Το αρχείο φόρτωσης, είναι το εκτελέσιμο αρχείο “Windows 11 setup” που περιέχεται στο ISO, το οποίο όταν εκκινηθεί, απορρίπτει ένα προσωρινό αρχείο με το όνομα is-PN131.tmp και δημιουργεί ένα άλλο αρχείο .TMP όπου ο φορτωτής γράφει 3.078 KB δεδομένων .
Δείτε ακόμα: Microsoft: Η νέα δυνατότητα ασφαλείας των Windows 11 απαιτεί “clean install”
Η CloudSEK εξηγεί ότι το πρόγραμμα φόρτωσης δημιουργεί μια νέα διαδικασία χρησιμοποιώντας το CreateProcess Windows API, το οποίο βοηθά στη δημιουργία νέων διεργασιών, στη δημιουργία επιμονής και στη δημιουργία τεσσάρων αρχείων.
Η επιμονή επιτυγχάνεται προσθέτοντας ένα αρχείο .LNK στον κατάλογο εκκίνησης και χρησιμοποιώντας το icacls.exe για να ορίσετε τα δικαιώματα πρόσβασής του για μυστικότητα.
Δύο από τα τέσσερα αρχεία που εγκαθίστανται είναι δέσμες ενεργειών εντολών των Windows για απενεργοποίηση της ασφάλειας μητρώου, προσθήκη εξαιρέσεων του Defender, απεγκατάσταση προϊόντων ασφαλείας και διαγραφή του shadow volume.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό αφαιρεί επίσης λύσεις ασφαλείας από την Emsisoft και την ESET, πιθανότατα επειδή αυτά τα προϊόντα το εντοπίζουν ως κακόβουλο.
Το τρίτο αρχείο είναι ένα βοηθητικό πρόγραμμα εκτέλεσης εντολών που εκτελείται με τα υψηλότερα δικαιώματα συστήματος και το τέταρτο είναι μια δέσμη ενεργειών VBA που απαιτείται για την εκτέλεση του dfl.cmd.
Στο δεύτερο στάδιο της μόλυνσης, ένα αρχείο με την επέκταση .SCR πέφτει στον κατάλογο C:\Users\\AppData\Roaming\Windows11InstallationAssistant του παραβιασμένου συστήματος. Αυτό το αρχείο είναι ο πράκτορας που αποσυσκευάζει το ωφέλιμο φορτίο του info-stealer και το εκτελεί αναπαράγοντας μια νέα διαδικασία που ονομάζεται “Windows11InstallationAssistant.scr“.
Οι δυνατότητες του Inno Stealer είναι χαρακτηριστικές αυτού του είδους κακόβουλου λογισμικού, συμπεριλαμβανομένης της συλλογής cookie προγράμματος περιήγησης ιστού και αποθηκευμένων διαπιστευτηρίων, δεδομένων σε πορτοφόλια κρυπτονομισμάτων και δεδομένων από το σύστημα αρχείων.
Δείτε επίσης: Η Microsoft θα αποκλείει ευάλωτους drivers στα Windows 10, Windows 11
Η όλη κατάσταση αναβάθμισης των Windows 11 έχει δημιουργήσει πρόσφορο έδαφος για τον πολλαπλασιασμό αυτών επιθέσεων και δεν είναι η πρώτη φορά που αναφέρεται κάτι τέτοιο.
Συνιστάται να αποφεύγετε τη λήψη αρχείων ISO από ασαφείς πηγές και να εκτελείτε μόνο σημαντικές αναβαθμίσεις λειτουργικού συστήματος από τον πίνακα ελέγχου των Windows 10 ή να λαμβάνετε τα αρχεία εγκατάστασης απευθείας από την πηγή.
Εάν μια αναβάθμιση στα Windows 11 δεν είναι διαθέσιμη, δεν έχει νόημα να προσπαθήσετε να παρακάμψετε τους περιορισμούς με μη αυτόματο τρόπο, καθώς αυτό συνοδεύεται από μια σειρά από μειονεκτήματα και σοβαρούς κινδύνους ασφαλείας.
