Inno Stealer
提供虚假软件、价格过高的服务、虚假更新等的腐败网站在互联网上很常见,它们依靠相信其虚假报价的计算机用户并让他们引入所有应用程序类型,包括恶意软件。安全研究人员刚刚发现了其中一种,它伪装成 Windows 11 升级,而是安装了可以盗用加密货币钱包和来自 Web 浏览器的信息的恶意软件。
该恶意软件被称为 Inno Stealer,它位于一个网站内,该网站伪装成一个宣传 Windows 11 并提供虚假升级的 Microsoft 页面。如果计算机用户访问损坏的网站,他们将发布一个包含信息窃取威胁的 ISO 文件。为了在受影响的机器上获得持久性,Inno Stealer 在 Startup 目录中添加了一个 .LNK 文件,并且为了获得隐秘权限,它使用icacls.exe。
除了删除卷影副本外,Inno Stealer 还添加了 Defender 例外,并通过删除两个 Windows 命令脚本来禁用安全产品和注册表安全。然后,Inno Stealer 继续执行其管理员为其编程的任务:
- 从加密货币钱包收集信息
- 从系统文件中收集信息
- 收集存储的凭据
- 收集 Web 浏览器 cookie
收集的数据被添加到用户的临时目录,加密并发送到其开发人员的命令和控制服务器。
Inno Stealer 证明使用未经检查的、不熟悉的来源下载新软件、更新等不是一个好的选择,因为它最终可能会给计算机用户带来巨大的问题。
