自 Windows 11 系統(tǒng) 2021 年 6 月發(fā)布以來(lái)，不斷有各種活動(dòng)欺騙用戶(hù)下載惡意的 Windows 11 安裝程序。雖然這種情況在過(guò)去一段時(shí)間里有所遏制，但現(xiàn)在又卷土重來(lái)，而且破壞力明顯升級(jí)。

網(wǎng)絡(luò)安全公司 CloudSEK 近日發(fā)現(xiàn)了一個(gè)新型惡意軟件活動(dòng)，看起來(lái)非常像是微軟的官方網(wǎng)站。由于使用了 Inno Setup Windows 安裝程序，它分發(fā)的文件包含研究人員所說(shuō)的“Inno Stealer”惡意軟件。

惡意網(wǎng)站的URL是“windows11-upgrade11[.com]”，看來(lái) Inno Stealer 活動(dòng)的威脅者從幾個(gè)月前的另一個(gè)類(lèi)似的惡意軟件活動(dòng)中吸取了經(jīng)驗(yàn)，該活動(dòng)使用同樣的伎倆來(lái)欺騙潛在的受害者。

CloudSEK說(shuō)，在下載受感染的ISO后，多個(gè)進(jìn)程在后臺(tái)運(yùn)行，以中和受感染用戶(hù)的系統(tǒng)。它創(chuàng)建了Windows命令腳本，以禁用注冊(cè)表安全，添加 Defender 例外，卸載安全產(chǎn)品，并刪除陰影卷。

最后，一個(gè).SCR文件被創(chuàng)建，這是一個(gè)實(shí)際傳遞惡意有效載荷的文件，在這種情況下，新穎的 Inno Stealer 惡意軟件在被感染系統(tǒng)的以下目錄中。惡意軟件有效載荷文件的名稱(chēng)是"Windows11InstallationAssistant.scr"。

關(guān)鍵詞： 惡意軟件 后臺(tái)運(yùn)行 安裝程序 網(wǎng)絡(luò)安全公司