Inno Stealer

До GoldSparrow през Stealersг

Превод на:

Повредени сайтове, предлагащи фалшив софтуер, надценени услуги, фалшиви актуализации и други подобни, много често се дебнат в интернет, разчитайки на компютърни потребители, които вярват на фалшивите оферти и им позволяват да представят всички видове приложения, включително злонамерен софтуер. Изследователите по сигурността току-що откриха един от този вид, който се представя като надстройка на Windows 11 и вместо това инсталира зловреден софтуер, който може да присвои портфейли за криптовалута и информация от уеб браузъра.

Зловредният софтуер се нарича Inno Stealer и е вътре в уебсайт, който се представя за страница на Microsoft, популяризираща Windows 11 и предлагаща фалшива надстройка. Ако компютърните потребители имат достъп до повредения уебсайт, те ще пуснат ISO файл, съдържащ заплахата за кражба на информация. За да получи постоянство на засегнатата машина, Inno Stealer добавя .LNK файл в директорията за стартиране и, за да получи разрешения за скритост, използва icacls.exe.

Освен изтриването на копията на Shadow Volume, Inno Stealer добавя изключения на Defender и деактивира продуктите за сигурност и защитата на системния регистър, като пуска два командни скрипта на Windows. След това Inno Stealer продължава да изпълнява задачите, за които неговите администратори са го програмирали:

Събирайте информация от портфейли за криптовалута
Събиране на информация от системни файлове
Събиране на съхранени идентификационни данни
Събирайте бисквитки на уеб браузъра

Събраните данни се добавят към временната директория на Потребителя, шифровани и изпращани до командния и контролен сървър на неговите разработчици.

Inno Stealer е доказателство, че използването на непроверени, непознати източници за изтегляне на нов софтуер, актуализации и т.н. не е добър избор, защото може да доведе до огромни проблеми за компютърния потребител.