Злоумышленники заманивают ничего не подозревающих пользователей поддельным обновлением Windows 11, внутрь которого они внедрили малварь, похищающую данные браузера и криптовалютных кошельков.
Кампания по "заброске трояна" активна и в настоящее время. Злоумышленники создали веб-сайт, имитирующий рекламную страницу Microsoft для получения обновления до Windows 11. Однако в iso-шнике вместо "ванильной Винды" злодейский троянец,
Microsoft предлагает пользователям инструмент для проверки того, поддерживает ли их компьютер последнюю версию операционной системы (ОС) компании. Одним из требований является поддержка Trusted Platform Module (TPM) версии 2.0, который присутствует на машинах не старше четырех лет.
Агрессивная реклама новой ОС от Microsoft, как всегда сыграла на стороне злоумышленников. Пользователи, повелись на красивый вид и новые "фишки" Windows 11, но столкнулись с некоторыми непреодолимыми трудностями в виде жестких требований к оборудованию при установке ОС. И хакеры этим воспользовались. Злодеи открыли охоту на пользователей, "имеющих желание обновить систему, но не имеющих на это возможностей".
Злоумышленники, используя возможности поисковых систем, подсовывают поддельную веб-страницу с предложением особо нетерпеливым загрузить волшебный iso-образ Windows 11, который установит новую ОС на старое "железо".
Вредоносный веб-сайт, предлагающий поддельную Windows 11, все еще работает на момент написания статьи. На нем все красиво: официальные логотипы Microsoft, яркие фавиконы корпорации и заманчивая кнопка "Загрузить сейчас".
![Вредоносный веб-сайт, использованный в кампании (windows11-upgrade11[.]com)](https://avatars.dzeninfra.ru/get-zen_doc/4384151/pub_625da59fcef6035dc18b6d0f_625db092dfc5556ddb32e8e6/scale_1200)
Доверчивому пользователю предлагается загрузка образа через прямое соединение (загрузка через торренты не доступна) Скачав ISO-файл, юзер получит в довесок троян - вредоносную программу, похищающую информацию с кучей побочных функций.
Исследователи угроз из CloudSEK проанализировали злодейское ПО и выкатили технический отчет для всех желающих.
Процесс заражения
По данным CloudSEK, угрозы, стоящие за этой кампанией, используют новую вредоносную программу, которую исследователи назвали "Inno Stealer" из-за использования программы установки Inno Setup Windows.
Специалисты утверждают, что Inno Stealer не имеет сходства кода с другими распространенными в настоящее время программами для кражи информации, и они не нашли доказательств того, что вредоносная программа была загружена на платформу сканирования Virus Total.
Файл загрузчика (на базе Delphi) представляет собой исполняемый файл "Windows 11 setup", содержащийся в ISO, который при запуске сбрасывает временный файл с именем is-PN131.tmp и создает еще один файл .TMP, куда загрузчик записывает 3 078 КБ данных.
В CloudSEK объясняют, что загрузчик создает новый процесс, используя API Windows CreateProcess, который помогает порождать новые процессы, устанавливать постоянство и создавать четыре файла.
Устойчивость достигается путем добавления файла .LNK (ярлыка) в каталог Startup и использования icacls.exe для установки разрешений доступа для скрытности.
Два из четырех сброшенных файлов представляют собой командные сценарии Windows для отключения защиты реестра, добавления исключений Defender, деинсталляции продуктов безопасности и удаления теневого тома.
По словам исследователей, вредоносная программа также удаляет решения безопасности от Emsisoft и ESET, вероятно, потому что эти продукты определяют ее как вредоносную.
Третий файл представляет собой утилиту выполнения команд, которая запускается с наивысшими системными привилегиями, а четвертый - сценарий VBA, необходимый для запуска dfl.cmd.
На втором этапе заражения в каталог C:\Users\\\AppData\Roaming\Windows11InstallationAssistant скомпрометированной системы забрасывается файл с расширением .SCR.
Этот файл является агентом, который распаковывает полезную нагрузку информационного похитителя и выполняет ее, порождая новый процесс под названием "Windows11InstallationAssistant.scr", такой же, как и он сам.
Возможности Inno Stealer
Возможности Inno Stealer типичны для такого рода вредоносных программ, включая сбор cookies веб-браузера и сохраненных учетных данных, данных в криптовалютных кошельках и данных из файловой системы.
Набор целевых браузеров и криптовалютных кошельков обширен: Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser и Comodo.
Интересной особенностью Inno Stealer является то, что управление сетью и функции похищения данных являются многопоточными.
Все украденные данные копируются с помощью команды PowerShell в временный каталог пользователя, шифруются, а затем отправляются на командно-контрольный сервер оператора ("windows-server031.com").
Похититель также может получить дополнительные полезные нагрузки, причем это действие выполняется только в ночное время, возможно, чтобы воспользоваться периодом, когда жертвы нет за компьютером.
Эти дополнительные полезные нагрузки Delphi, которые принимают форму TXT-файлов, используют тот же загрузчик на основе Inno, который вмешивается в работу средств безопасности хоста, и используют тот же механизм создания устойчивости.
Их дополнительные возможности включают кражу информации из буфера обмена и эксфильтрацию данных перечисления каталогов.
Советы по безопасности
Вся ситуация с обновлением Windows 11 создала благодатную почву для распространения подобных кампаний, и это уже не первый случай, когда сообщается о чем-то подобном.
Рекомендуется избегать загрузки ISO-файлов из малоизвестных источников и выполнять основные обновления ОС только из панели управления Windows 10 или получать установочные файлы непосредственно из источника.
Если обновление до Windows 11 для вас недоступно, нет смысла пытаться обойти ограничения вручную, поскольку это сопряжено с рядом недостатков и серьезными рисками для безопасности.
Но если очень хочется, то на проверенных ресурсах, например здесь, есть все необходимое, включая уже готовый образ, для установки Windows 11 на неподдерживаемое оборудование.