Inno Stealer

Sites corrompidos que oferecem software falso, serviços superfaturados, atualizações falsas e similares esquemas são muito comuns à espreita na Internet, contando com usuários de computador que acreditam nas suas ofertas falsas e permitem que eles introduzam todos os tipos de aplicativos, incluindo malware. Os pesquisadores de segurança acabaram de descobrir um desse tipo, que se apresenta como uma atualização do Windows 11 e, em vez disso, instala um malware que pode apropriar-se indevidamente de carteiras de cripto-moedas e informações no navegador da Web.

O malware chama-se Inno Stealer e está dentro de um site que finge ser uma página da Microsoft promovendo o Windows 11 e oferecendo uma atualização falsa. Se os usuários de computador acessarem o site corrompido, eles liberarão um arquivo ISO contendo a ameaça do ladrão de informações. Para obter persistência na máquina afetada, o Inno Stealer adiciona um arquivo .LNK no diretório de inicialização e, para obter permissões para furtividade, ele usa icacls.exe.

Além de excluir as Cópias do Shadow Volume, o Inno Stealer adiciona exceções no Defender e desativa os produtos de segurança e a segurança do Registro, descartando dois scripts de comando do Windows. Em seguida, o Inno Stealer executa as tarefas para as quais seus administradores o programaram:

• Colar informações de carteiras de cripto-moedas
• Coletar informações nos arquivos do sistema
• Coletar credenciais armazenadas
• Coletar cookies no navegador da Web

Os dados coletados são adicionados ao diretório temporário do Usuário, criptografados e enviados ao servidor de Comando e Controle dos seus desenvolvedores.

O Inno Stealer é a prova de que usar fontes não verificadas e desconhecidas para baixar novos softwares, atualizações, etc. não é uma boa escolha, pois pode acabar trazendo grandes problemas para o usuário do computador.