ویندوز 11 جعلی بدافزار است

هکرها با ارتقا جعلی ویندوز 11 که همراه با بدافزاری است که داده‌های مرورگر و کیف پول‌های ارزهای دیجیتال را سرقت می‌کند، کاربران ناآگاه را جذب می‌کنند.

این کمپین در حال حاضر فعال است و با تکیه بر مسموم کردن نتایج جست‌وجو، وب سایتی را push می‌کند که از صفحه تبلیغاتی مایکروسافت برای ویندوز 11 تقلید می‌کند تا بدافزار سارق اطلاعات را توزیع کند.

مایکروسافت یک ابزار ارتقا به کاربران ارائه می‌دهد تا بررسی کند که آیا دستگاه آن‌ها از آخرین سیستم عامل این شرکت پشتیبانی می‌کند یا خیر. یکی از الزامات پشتیبانی از ماژول پلتفرم مورد اعتماد (TPM)، نسخه 2.0 است که در ماشین‌هایی که بیش از چهار سال سن ندارند وجود دارد.

هکرها کاربرانی را طعمه قرار می‌دهند که بدون صرف وقت برای یادگیری اینکه سیستم عامل باید مشخصات خاصی را برآورده کند، به نصب ویندوز 11 می پردازند.

وب سایت مخربی که ویندوز 11 جعلی را ارائه می دهد هنوز فعال است. این سایت لوگو رسمی مایکروسافت، favicons و دکمه دعوت‌کننده «اکنون دانلود کنید» را دارد.

اگر بازدیدکننده وب‌سایت مخرب را از طریق اتصال مستقیم بارگیری کند (دانلود از طریق TOR یا VPN در دسترس نیست)، یک فایل ISO دریافت خواهد کرد که فایل اجرایی بدافزار سرقت اطلاعات جدید را در خود مخفی کرده است.

فرآیند آلودگی

به گفته CloudSEK، عوامل تهدید در پشت این کمپین از بدافزار جدیدی استفاده می‌کنند که محققان به دلیل استفاده از نصب کننده Inno Setup Windows آن را "Inno Stealer" نامیدند.

محققان می گویند که Inno Stealer هیچ شباهت کدی با سایر دزدهای اطلاعاتی که در حال حاضر در گردش هستند ندارد و شواهدی مبنی بر آپلود بدافزار در پلتفرم اسکن ویروس توتال پیدا نکرده‌اند.

فایل لودر (مبتنی بر دلفی) فایل اجرایی "Windows 11 setup" موجود در ISO است، که پس از راه‌اندازی، یک فایل موقت به نام is-PN131.tmp می‌سازد و فایل TMP دیگری ایجاد می‌کند که لودر در آن 3078 کیلوبایت داده می‌نویسد.

CloudSEK توضیح می‌دهد که لودر فرآیند جدیدی را با استفاده از CreateProcess Windows API ایجاد می‌کند و به ایجاد فرآیندهای جدید، ایجاد ماندگاری و نصب چهار فایل کمک می‌کند.

ماندگاری با افزودن یک فایل .LNK (میانبر) در دایرکتوری Startup و استفاده از icacls.exe برای تنظیم مجوزهای دسترسی آن برای مخفی کاری به دست می آید.

دو فایل از چهار فایل ایجاد شده عبارتند از اسکریپت فرمان ویندوز برای غیرفعال کردن امنیت رجیستری، اضافه کردن استثناهای Defender، حذف نصب محصولات امنیتی و حذف حجم سایه (shadow volume).

به گفته محققان، این بدافزار راه‌حل‌های امنیتی Emsisoft و ESET را نیز حذف می‌کند، احتمالاً به این دلیل که این محصولات آن را مخرب تشخیص می‌دهند.

فایل سوم یک ابزار اجرای دستور است که با بالاترین امتیازات سیستم اجرا می شود. و چهارمین فایل، یک اسکریپت VBA است که برای اجرای dfl.cmd مورد نیاز است.

در مرحله دوم آلودگی، فایلی با پسوند .SCR در دایرکتوری C:\Users\\AppData\Roaming\Windows11InstallationAssistant سیستم در معرض خطر قرار می گیرد.

این فایل محموله دزد اطلاعات را باز می‌کند و با ایجاد یک فرآیند جدید به نام "Windows11InstallationAssistant.scr"، آن را اجرا می کند.

قابلیت های Inno Stealer

قابلیت‌های Inno Stealer برای این نوع بدافزارها معمول است، از جمله جمع‌آوری کوکی‌های مرورگر وب و اطلاعات کاربری ذخیره ‌شده، داده‌ها در کیف پول‌های ارزهای دیجیتال و داده‌های سیستم فایل.

مجموعه مرورگرهای مورد هدف و کیف پول های رمزنگاری گسترده است، از جمله Chrome، Edge، Brave، Opera، Vivaldi، 360 Browser و Comodo.

سارق همچنین می تواند محموله های اضافی را دریافت کند، عملی که فقط در شب انجام می شود، احتمالاً برای استفاده از دوره ای که قربانی پای رایانه نیست.

قابلیت‌های این محموله های اضافی شامل سرقت اطلاعات کلیپ‌بورد و استخراج داده‌های شمارش دایرکتوری است.

نکات امنیتی

کل وضعیت ارتقاء ویندوز 11 زمینه مناسبی را برای گسترش این کمپین ها ایجاد کرده است و این اولین بار نیست که چنین چیزی گزارش می شود.

توصیه می‌شود از دانلود فایل‌های ISO از منابع مبهم خودداری کنید و فقط ارتقاهای اصلی سیستم‌عامل را از داخل کنترل پنل ویندوز 10 خود انجام دهید یا فایل‌های نصب را مستقیماً از منبع دریافت کنید.

اگر ارتقاء به ویندوز 11 در دسترس شما نیست، تلاش برای دور زدن محدودیت ها به صورت دستی فایده ای ندارد، زیرا این کار با مجموعه ای از جنبه های منفی و خطرات امنیتی شدید همراه خواهد بود.

منبع: Bleeping Computer