Inno Stealer

Beschadigde sites die nep-software, te dure services, nep-updates en dergelijke aanbieden, zijn heel gewoon om op het internet op de loer te liggen, rekenend op computergebruikers die geloven in zijn nep-aanbiedingen en hen alle soorten applicaties laten introduceren, inclusief malware. Beveiligingsonderzoekers hebben zojuist een van deze soort ontdekt, die zich voordoet als een Windows 11-upgrade en in plaats daarvan malware installeert die cryptocurrency-portefeuilles en informatie uit de webbrowser kan misbruiken.

De malware heet Inno Stealer en bevindt zich op een website die zich voordoet als een Microsoft-pagina die Windows 11 promoot en een nep-upgrade aanbiedt. Als computergebruikers toegang krijgen tot de beschadigde website, zullen ze een ISO-bestand vrijgeven dat de info-stealer-dreiging bevat. Om persistentie op de getroffen machine te krijgen, voegt de Inno Stealer een .LNK-bestand toe aan de Startup-directory en gebruikt het icacls.exe om permissies voor stealthiness te verkrijgen .

Naast het verwijderen van de schaduwvolume-kopieën, voegt de Inno Stealer Defender-uitzonderingen toe en schakelt beveiligingsproducten en de registerbeveiliging uit door twee Windows-opdrachtscripts te verwijderen. Vervolgens voert de Inno Stealer de taken uit waarvoor de beheerders hem hebben geprogrammeerd:

• Verzamel informatie uit cryptocurrency-portefeuilles
• Verzamel informatie uit systeembestanden
• Opgeslagen inloggegevens verzamelen
• Webbrowsercookies verzamelen

De verzamelde gegevens worden toegevoegd aan de tijdelijke directory van de gebruiker, versleuteld en verzonden naar de Command and Control-server van zijn ontwikkelaars.

De Inno Stealer is het bewijs dat het gebruik van niet-gecontroleerde, onbekende bronnen om nieuwe software, updates, enz. te downloaden, geen goede keuze is, omdat het grote problemen kan opleveren voor de computergebruiker.