Inno Stealer

Пошкоджені сайти, що пропонують фальшиве програмне забезпечення, завищені послуги, підроблені оновлення тощо, дуже часто ховаються в Інтернеті, розраховуючи на користувачів комп’ютерів, які вірять у його підроблені пропозиції та дозволяють їм представити всі види програм, включаючи шкідливе програмне забезпечення. Дослідники безпеки щойно виявили один із таких, який представляє собою оновлення Windows 11 і замість цього встановлює зловмисне програмне забезпечення, яке може незаконно привласнювати гаманці криптовалюти та інформацію з веб-браузера.

Зловмисне програмне забезпечення називається Inno Stealer і знаходиться всередині веб-сайту, який видає себе за сторінку Microsoft, що рекламує Windows 11 і пропонує фальшиве оновлення. Якщо користувачі комп’ютерів отримають доступ до пошкодженого веб-сайту, вони випустять файл ISO, що містить загрозу крадіжки інформації. Щоб отримати стабільність на ураженій машині, Inno Stealer додає файл .LNK до каталогу запуску, а для отримання дозволів на прихованість використовує icacls.exe.

Окрім видалення копій тіньових томів, Inno Stealer додає винятки Defender та вимикає продукти безпеки та безпеку реєстру, видаляючи два командні скрипти Windows. Потім Inno Stealer переходить до виконання завдань, на які його запрограмували адміністратори:

• Збирайте інформацію з криптовалютних гаманців
• Збір інформації із системних файлів
• Зберіть збережені облікові дані
• Збирайте файли cookie веб-браузера

Зібрані дані додаються до тимчасового каталогу Користувача, шифруються та надсилаються на сервер командування та управління його розробників.

Inno Stealer є доказом того, що використання неперевірених, незнайомих джерел для завантаження нового програмного забезпечення, оновлень тощо не є хорошим вибором, оскільки це може призвести до величезних проблем для користувача комп’ютера.