🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Phần mềm giả mạo bản cài đặt Windows 11 có chứa mã độc đánh cắp thông tin

21/04/2022

Tin tặc đã tạo ra bản nâng cấp Windows 11 giả mạo nhằm lừa người dùng cài đặt để triển khai mã độc đánh cắp thông tin, nhắm mục tiêu đến những người muốn cài đặt Windows 11 mà không hiểu rõ các yêu cầu về các thông số kỹ thuật cần đáp ứng.

Chúng đã sử dụng chiêu trò để hiển thị trang web giả mạo trang quảng cáo Windows 11 của Microsoft lên đầu kết quả tìm kiếm trên trình duyệt.

Microsoft đã phát hành một công cụ để người dùng kiểm tra xem máy của bạn có hỗ trợ nâng cấp lên phiên bản hệ điều hành Windows mới nhất hay không. Một điều kiện bắt buộc là máy có hỗ trợ Trusted Platform Module (TPM) phiên bản 2.0 (các máy đã sản xuất cách đây hơn 4 năm không hỗ trợ module này).

Trang web giả mạo cung cấp bản cài đặt Windows 11 độc hại có logo, biểu tượng của Microsoft và nút “Tải xuống ngay”.

Giao diện trang web giả mạo dùng để lừa người dùng

Khi nhấn vào nút tải xuống, trình duyệt sẽ tải về tệp ISO có chứa mã độc ăn cắp thông tin.

Quá trình lây nhiễm

Những kẻ đứng sau chiến dịch này đang sử dụng một phần mềm độc hại mới được các nhà nghiên cứu gọi là “Inno Stealer” do nó sử dụng chương trình cài đặt Inno Setup Windows.

Các nhà nghiên cứu CloudSEK đã phân tích tệp này và cho biết Inno Stealer không giống với những mã độc ăn cắp thông tin phổ biến đã biết và họ cũng không tìm thấy thông tin về phần mềm độc hại này trên hệ thống Virus Total.

Khi tệp ISO được thực thi sẽ tạo thêm một tệp .lnk trong thư mục ‘Restart’ để duy trì quyền truy cập và hoạt động của mã độc sau khi thiết bị được khởi động lại; đồng thời khởi tạo một tiến trình mới bằng cách sử dụng API CreateProcess Windows và tạo ra bốn tệp.

Hai trong số đó là tệp Windows Command Scripts dùng để vô hiệu hóa hoặc gỡ bỏ các hệ thống bảo mật trên máy tính.

Phần mềm độc hại này cũng loại bỏ các giải pháp bảo mật Emsisoft và ESET, có thể do các sản phẩm này có khả năng phát hiện ra nó.

Tệp thứ ba là một công cụ thực thi lệnh (command) chạy với đặc quyền hệ thống; cuối cùng là một tập lệnh VBA để thực thi dfl.cmd.

Ở giai đoạn thứ hai của quá trình lây nhiễm, một tệp .SCR sẽ được thêm vào thư mục C:\Users\\AppData\Roaming\Windows11InstallationAssistant của hệ thống bị xâm phạm.

Tệp này chứa đoạn mã cài đặt phần mềm đánh cắp thông tin, được thực thi bằng cách tạo ra một tiến trình mới có tên “Windows11InstallationAssistant.scr”.

Quá trình lấy nhiễm mã độc Inno Stealer

Khả năng của mã độc

Inno Stealer có khả năng thu thập cookie của trình duyệt web và thông tin đăng nhập đã được lưu trữ, dữ liệu trong ví điện tử và dữ liệu từ hệ thống tệp (filesystem), thông tin clipboard và dữ liệu thư mục,…

Rất nhiều trình duyệt và ví điện tử bị nhắm mục tiêu, bao gồm Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser và Comodo.

Ngoài ra, Inno Stealer được thiết kế đa luồng để thực hiện chức năng quản lý mạng và các chức năng ăn cắp dữ liệu.

Tất cả dữ liệu bị đánh cắp được sao chép vào thư mục tạm thời của người dùng, mã hóa và sau đó được gửi đến máy chủ của kẻ tấn công (“windows-server031.com”)

Khuyến nghị

Đây không phải lần đầu tiên một tấn công như vậy được phát hiện, cuộc tấn công giả mạo chương trình cài đặt Windows 11 tương tự đã xảy ra vào tháng Hai năm nay.

Bạn nên tránh tải xuống các tệp cài đặt từ các nguồn không chính thống và chỉ thực hiện nâng cấp hệ điều hành từ bảng điều khiển (control panel) Windows 10 hoặc tải các tệp cài đặt trực tiếp từ Microsoft .

Nếu máy của bạn không được hỗ trợ bản nâng cấp lên Windows 11, đừng cố gắng vượt qua các hạn chế theo cách thủ công, vì điều này sẽ đi kèm với một số rủi ro bảo mật nghiêm trọng.

Nguồn: bleepingcomputer.com.


scrolltop