هکرها با استفاده از یک برنامه جعلی آپگرید ویندوز 11 که آلوده به بدافزار بوده، کاربران رو فریب دادن و داده های مرورگر و کیف پول ارزهای دیجیتالشیون رو به سرقت بردن.
مایکروسافت یه ابزار آپگرید برای کاربراش ارائه داده تا با این ابزار سیستمشون رو چک کنن ، ببینن امکان نصب ویندوز 11 براشون فراهمه یا نه. یکی از الزامات پشتیبانی سیستم از Trusted Platform Module (TPM) version 2.0 هستش.
هکرها با قرار دادن آدرس سایت جعلی در نتایج جستجو و کاربرانی که بدون تحقیق و بررسی از سایتهای معتبر ، اقدام به نصب ویندوز 11 میکنند را هدف قرار دادن.
سایت جعلی دارای شمایی مانند سایت مایکروسافته:
![windows11-upgrade11[.]com سایت جعلی با آدرس](https://files.virgool.io/upload/users/9207/posts/hz25luah8ft8/ienxaygeqpjw.webp)
کاربران با مراجعه به این سایت و کلیک روی Download Now یک فایل ISO دریافت میکنند که حاوی بدافزاره. فرایند دانلود در صورتیکه از VPN یا TOR استفاده شده باشه، اجرا نمیشه.
به گفته CloudSEK، بازیگران تهدید در پشت این کمپین از بدافزار جدیدی استفاده می کنند که محققان به دلیل استفاده از نصب کننده Inno Setup Windows اونو "Inno Stealer" نامیدند.
محققا گفتن که هیچ شباهت کدی با سایر نمونه برنامه های دزدی اطلاعات که در حال حاضر استفاده میشه ، پیدا نکردن و شواهدی مبنی بر آپلود بدافزار در پلت فرم اسکن ویروس توتال هم پیدا نشده .
در مرحله اول ، فایل لودر که با زبان دلفی نوشته شده با نام Windows 11 setup در داخل ISO هستش که با اجرای اون یک فایل موقت با نام is-PN131.tmp و یک فایل .TMP دیگه ایجاد میکنه که لودر 3,078 کیلوبایت داده توش مینویسه.
لودر همچنین با استفاده از CreateProcess پروسس های جدیدی رو ایجاد میکنه که برای پرسیست ، ایجاد پروسس های جدید و استخراج 4 فایل دیگه کمک میکنه.
فرآیند پرسیست با استفاده از اضافه کردن فایل شورتکات .LNK به فولدر Startup و تعیین مجوزهای دسترسی با استفاده از icacls.exe انجام میشه.
دو فایل از چهار فایل استخراج شده عبارتند از Windows Command Scripts برای غیرفعال کردن امنیت رجیستری، اضافه کردن استثنائات به Defender، حذف محصولات امنیتی و حذف shadow volume.
به گفته محققان، این بدافزار محصولات امنیتی Emsisoft و ESET را حذف میکنه، احتمالاً به این دلیل که این محصولات اونو مخرب شناسایی میکنن.
فایل سوم یک ابزار اجرای دستور که با بالاترین امتیازات سیستم اجرا میشه. و چهارمین فایل، اسکریپت VBA برای اجرای dfl.cmd است.
در مرحله دوم آلودگی، فایلی با پسوند .SCR در مسیر زیر قرار میگیرد:
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
این فایل جهت آنپک کردن و اجرای پیلود برنامه اصلی بکار میرود که با ایجاد پروسسی بنام Windows11InstallationAssistant.scr انجام میشه.
قابلیتهای بدافزار همانند بدافزارهای رده خودش هست مانند سرقت داده های مرورگرها ، سرقت کوکی ها ، سرقت اطلاعات کیف پول رمزهای دیجیتال و سرقت کلیپبورد و ...
مرورگرها و کیف پولهایی که در این کمپین هدف قرار گرفتن به شرح زیر هستند :
یکی از ویژگی های جالب Inno Stealer اینه که توابع مدیریت شبکه و سرقت داده multi-thread هستند.
تمام داده های دزدیده شده از طریق PowerShell در دایرکتوری موقت کاربر کپی و رمزگذاری میشن و بعداً به C&C ارسال میشن ("windows-server031.com")
همچنین بدافزار قابلیت دریافت و اجرای پیلودهای بیشتر رو هم داره که این فرآیند اغلب شب انجام میشه ، شاید به این دلیل که کاربر پشت سیستم نباشه.
این پیلودها که مبتنی بر دلفی هستند و بصورت فایل TXT ارسال میشن از همان مکانیسم لودر INNO استفاده میکنن.
فرآیند ارتقای ویندوز 11 زمینه مناسبی را برای گسترش کمپین های بدافزاری ایجاد کرده است و این اولین بار نیست که چنین چیزی گزارش میشه.
توصیه شده از دانلود فایلهای ISO از منابع مبهم خودداری کنید و فقط آپگیردهای اصلی سیستمعامل را از داخل کنترل پنل ویندوز 10 خود انجام دهید یا فایلهای نصب را مستقیماً از منبع دریافت کنید.
اگر ارتقاء به ویندوز 11 در دسترس شما نیست، تلاش برای دور زدن محدودیت ها به صورت دستی فایده ای نداره، زیرا این کار با مجموعه ای از جنبه های منفی و خطرات امنیتی شدید همراه خواهد بود.
دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام
اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز
