אינו גנב

אתרים מושחתים המציעים תוכנות מזויפות, שירותים במחיר מופקע, עדכונים מזויפים וכדומה הם נפוצים מאוד להיות אורבים באינטרנט, סומכים על משתמשי מחשב שמאמינים בהצעות המזוייפות שלו ויאפשרו להם להציג את כל סוגי האפליקציות, כולל תוכנות זדוניות. חוקרי אבטחה גילו זה עתה אחד מסוג זה, שמתחזה לשדרוג של Windows 11, ובמקום זאת, מתקין תוכנות זדוניות שעלולות לנצל באופן שגוי ארנקים ומידע של מטבעות קריפטוגרפיים מדפדפן האינטרנט.

התוכנה הזדונית נקראת Inno Stealer, והיא נמצאת בתוך אתר אינטרנט שמתיימר להיות דף של מיקרוסופט המקדם את Windows 11 ומציע שדרוג מזויף. אם משתמשי מחשב ניגשים לאתר הפגום, הם ישחררו קובץ ISO המכיל את איום גנב המידע. כדי להשיג התמדה במחשב המושפע, Inno Stealer מוסיף קובץ .LNK בספריית ההפעלה וכדי לקבל הרשאות להתגנבות הוא משתמש בicacls.exe.

מלבד מחיקת עותקי ה-Shadow Volume, ה-Inno Stealer מוסיף חריגים של Defender, ומשבית את מוצרי האבטחה ואת אבטחת הרישום על ידי שחרור שני סקריפטים של Windows Command. לאחר מכן, Inno Stealer ממשיך לבצע את המשימות שהמנהלים שלו תכנתו אותו עבורן:

• אסוף מידע מארנקי מטבעות קריפטוגרפיים
• איסוף מידע מקבצי מערכת
• אסוף אישורים מאוחסנים
• אסוף קובצי Cookie של דפדפן אינטרנט

הנתונים שנאספו מתווספים לספרייה הזמנית של המשתמש, מוצפנים ונשלחים לשרת הפקודה והבקרה של מפתחיו.

ה-Inno Stealer הוא הוכחה לכך ששימוש במקורות לא מסומנים ולא מוכרים להורדת תוכנות חדשות, עדכונים וכו' אינו בחירה טובה מכיוון שהוא עלול להביא בסופו של דבר בעיות ענק למשתמש המחשב.