Tin tặc đã tạo ra bản nâng cấp Windows 11 giả mạo nhằm lừa người dùng cài đặt để triển khai mã độc đánh cắp thông tin, nhắm mục tiêu đến những người muốn cài đặt Windows 11 mà không hiểu rõ các yêu cầu về các thông số kỹ thuật cần đáp ứng.
Chúng đã sử dụng chiêu trò để hiển thị trang web giả mạo trang quảng cáo Windows 11 của Microsoft lên đầu kết quả tìm kiếm trên trình duyệt.
Microsoft đã phát hành một công cụ để người dùng kiểm tra xem máy của bạn có hỗ trợ nâng cấp lên phiên bản hệ điều hành Windows mới nhất hay không. Một điều kiện bắt buộc là máy có hỗ trợ Trusted Platform Module (TPM) phiên bản 2.0 (các máy đã sản xuất cách đây hơn 4 năm không hỗ trợ module này).
Trang web giả mạo cung cấp bản cài đặt Windows 11 độc hại có logo, biểu tượng của Microsoft và nút “Tải xuống ngay”.
Giao diện trang web giả mạo dùng để lừa người dùng
Khi nhấn vào nút tải xuống, trình duyệt sẽ tải về tệp ISO có chứa mã độc ăn cắp thông tin.
Quá trình lây nhiễm
Những kẻ đứng sau chiến dịch này đang sử dụng một phần mềm độc hại mới được các nhà nghiên cứu gọi là “Inno Stealer” do nó sử dụng chương trình cài đặt Inno Setup Windows.
Các nhà nghiên cứu CloudSEK đã phân tích tệp này và cho biết Inno Stealer không giống với những mã độc ăn cắp thông tin phổ biến đã biết và họ cũng không tìm thấy thông tin về phần mềm độc hại này trên hệ thống Virus Total.
Khi tệp ISO được thực thi sẽ tạo thêm một tệp .lnk trong thư mục ‘Restart’ để duy trì quyền truy cập và hoạt động của mã độc sau khi thiết bị được khởi động lại; đồng thời khởi tạo một tiến trình mới bằng cách sử dụng API CreateProcess Windows và tạo ra bốn tệp.
Hai trong số đó là tệp Windows Command Scripts dùng để vô hiệu hóa hoặc gỡ bỏ các hệ thống bảo mật trên máy tính.
Phần mềm độc hại này cũng loại bỏ các giải pháp bảo mật Emsisoft và ESET, có thể do các sản phẩm này có khả năng phát hiện ra nó.
Tệp thứ ba là một công cụ thực thi lệnh (command) chạy với đặc quyền hệ thống; cuối cùng là một tập lệnh VBA để thực thi dfl.cmd.
Ở giai đoạn thứ hai của quá trình lây nhiễm, một tệp .SCR sẽ được thêm vào thư mục C:\Users\\AppData\Roaming\Windows11InstallationAssistant của hệ thống bị xâm phạm.
Tệp này chứa đoạn mã cài đặt phần mềm đánh cắp thông tin, được thực thi bằng cách tạo ra một tiến trình mới có tên “Windows11InstallationAssistant.scr”.
Quá trình lấy nhiễm mã độc Inno Stealer
Khả năng của mã độc
Inno Stealer có khả năng thu thập cookie của trình duyệt web và thông tin đăng nhập đã được lưu trữ, dữ liệu trong ví điện tử và dữ liệu từ hệ thống tệp (filesystem), thông tin clipboard và dữ liệu thư mục,…
Rất nhiều trình duyệt và ví điện tử bị nhắm mục tiêu, bao gồm Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser và Comodo.
Ngoài ra, Inno Stealer được thiết kế đa luồng để thực hiện chức năng quản lý mạng và các chức năng ăn cắp dữ liệu.
Tất cả dữ liệu bị đánh cắp được sao chép vào thư mục tạm thời của người dùng, mã hóa và sau đó được gửi đến máy chủ của kẻ tấn công (“windows-server031.com”)
Khuyến nghị
Đây không phải lần đầu tiên một tấn công như vậy được phát hiện, cuộc tấn công giả mạo chương trình cài đặt Windows 11 tương tự đã xảy ra vào tháng Hai năm nay.
Bạn nên tránh tải xuống các tệp cài đặt từ các nguồn không chính thống và chỉ thực hiện nâng cấp hệ điều hành từ bảng điều khiển (control panel) Windows 10 hoặc tải các tệp cài đặt trực tiếp từ Microsoft .
Nếu máy của bạn không được hỗ trợ bản nâng cấp lên Windows 11, đừng cố gắng vượt qua các hạn chế theo cách thủ công, vì điều này sẽ đi kèm với một số rủi ro bảo mật nghiêm trọng.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một người dùng MetaMask đã mất hơn 655 nghìn đô do một cuộc tấn công lừa đảo xâm phạm tài khoản Apple.
Tín nhiệm mạng | Elementor-plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt, được phát hiện có chứa lỗ hổng cho phép thực thi mã từ xa.
Tín nhiệm mạng | GitHub cho biết kẻ tấn công đã lạm dụng mã OAuth token bị đánh cắp được cấp cho hai dịch vụ xác thực bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM
Tín nhiệm mạng | Cisco phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến Wireless LAN Controller, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng mà không cần xác thực.
Tín nhiệm mạng | Một lỗ hổng bảo mật trong nền tảng NFT Rarible cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Tín nhiệm mạng | Google đã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong trình duyệt Chrome, một trong số đó đang bị khai thác trong thực tế.