Από τότε που ανακοινώθηκαν για πρώτη φορά τα Windows 11 τον Ιούνιο του 2021, υπήρξαν πολλές καμπάνιες με στόχο να εξαπατήσουν τους ανθρώπους να κατεβάσουν πλαστά κακόβουλα προγράμματα εγκατάστασης των Windows 11. Ενώ αυτή η δραστηριότητα φαινόταν να σβήνει για λίγο, φαίνεται ότι επέστρεψε και αυτή τη φορά, η κατάσταση είναι πιθανώς πολύ πιο επικίνδυνη..
Αυτό οφείλεται στο ότι τα Windows 11 τότε δεν ήταν διαθέσιμα στο κοινό, αλλά μόνο στους Insiders, οι οποίοι πιθανώς είναι πιο γνώστες της τεχνολογίας και ενημερωμένοι. Ωστόσο, τα Windows 11 είναι από τότε γενικά διαθέσιμα , καθιστώντας το ένα επικίνδυνο σενάριο στις μέρες μας.
Μια νέα καμπάνια κακόβουλου λογισμικού παρόμοιας φύσης ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας CloudSEK καθώς παρατήρησε έναν νέο ιστότοπο απατεώνων που μοιάζει με αυτόν της Microsoft, αλλά στην πραγματικότητα διανέμει αρχεία που περιέχουν αυτό που οι ερευνητές αποκαλούν κακόβουλο λογισμικό “Inno Stealer” λόγω της χρήσης του Inno Setup Windows εγκαταστάτης. Αυτό είναι ένα νέο κακόβουλο λογισμικό κλοπής καθώς δεν βρέθηκε παρόμοιο δείγμα στο Virus Total.
Η διεύθυνση URL του κακόβουλου ιστότοπου είναι “windows11-upgrade11[.]com” και φαίνεται ότι οι συντελεστές απειλών της καμπάνιας Inno Stealer πήραν μια σελίδα από μια άλλη παρόμοια καμπάνια κακόβουλου λογισμικού πριν από μερικούς μήνες, η οποία χρησιμοποιούσε το ίδιο τέχνασμα για να ξεγελάσει πιθανά θύματα. Το τελευταίο είχε ήδη καταργηθεί κατά τη στιγμή της αναφοράς, αλλά το νέο εξακολουθεί να είναι ανοιχτό, επομένως συνιστάται στους αναγνώστες να κάνουν προσεκτικές συναλλαγές.
Το CloudSEK λέει ότι κατά τη λήψη του μολυσμένου ISO, εκτελούνται πολλές διεργασίες στο παρασκήνιο για την εξουδετέρωση του συστήματος ενός μολυσμένου χρήστη. Δημιουργεί σενάρια εντολών των Windows για να απενεργοποιήσει την ασφάλεια μητρώου, προσθέτει εξαιρέσεις του Defender, απεγκαθιστά προϊόντα ασφαλείας και διαγράφει τόμους σκιών.
Τέλος, δημιουργείται ένα αρχείο .SCR που είναι αυτό που στην πραγματικότητα παραδίδει το κακόβουλο ωφέλιμο φορτίο, σε αυτήν την περίπτωση, το νέο κακόβουλο λογισμικό Inno Stealer στον ακόλουθο κατάλογο ενός παραβιασμένου συστήματος:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
Το όνομα του αρχείου ωφέλιμου φορτίου κακόβουλου λογισμικού είναι “Windows11InstallationAssistant.scr”.