Bleeping Computer 報導稱，已有黑客在利用偽造的Windows 11 升級安裝包，來引誘毫無戒心的受害者上鉤。為了將戲演得更真一些，當前正在活躍的惡意軟件活動甚至會利用中毒後的搜索結果，來推送一個模仿微軟Windows 11 促銷頁面的網站。若不幸入套，或被惡意軟件竊取瀏覽器數據和加密貨幣錢包中的資產。

假冒Windows 11 升級網頁

在推廣Windows 11 操作系統的同時，微軟也為新平台製定了更加嚴格的安全標準。

如果你用過兼容性檢查工具，就會知道最容易被攔在門外的因素是缺乏TPM 2.0 可信平台模塊，幾乎將四年前的老設備都攔在了門外。

然而並不是所有人都知曉這一硬性要求，且黑客也很快盯上了這部分想要升級至Windows 11 的普通用戶。

攻擊部署流程（圖自：CloudSEK）

截止Bleeping Computer發稿時，上文提到的假冒Windows 11 升級網站仍未被有關部門拿下，可知其精心模仿了微軟官方徽標、網站圖標、以及誘人的“立即下載”按鈕。

粗心的訪問者可以通過惡意鏈接獲得一個ISO 文件，但該文件格式只是為可執行的惡意文件提供了庇護—— 攻擊者相當奸詐地利用了Inno Setup Windows Windows 安裝器。

CloudSEK安全研究人員將之命名為Inno Stealer，可知這款新型惡意軟件與目前流通的其它信息竊取程序沒有任何代碼上的相似之處，且CloudSEC 未找到它有被上傳到Virus Total 掃描平台的證據。

Inno Stealer 感染鏈

基於Delphi 的加載程序文件，是ISO 中包含的“Windows 11 setup”可執行文件。它會在啟動時轉儲一個名為is-PN131.tmp 的臨時文件、並創建另一個.TMP 文件。

加載程序會在其中寫入3078KB 的數據，然後利用CreateProcess Windows API 生成一個新的進程，實現持久駐留並植入四個惡意文件。

具體說來是，攻擊者選擇了通過在Startup 目錄中添加一個.LNK（快捷方式）文件，並將icacls.exe 設置隱藏屬性以實現長期隱蔽。

被Inno Stealer 盯上的瀏覽器列表

四個被刪除的文件中，有兩個是Windows 命令腳本—— 分別用於禁用註冊表安全防護、添加Defender 排除項、卸載安全產品、以及移除影子卷。

此外研究人員指出，該惡意軟件還會鏟掉E MSI soft 和ESET 的安全解決方案—— 推測是因為這兩款反病毒軟件的檢出能力更強。

第三個文件是一個以最高系統權限運行的命令執行工具，第四個文件則是運行dfl.cmd 命令行所需的VBA 腳本。

被Inno Stealer 盯上的加密貨幣錢包

在感染的第二階段，惡意軟件會通過一個.SCR 屏保文件，將自身放入受感染系統的C:Users\AppDataRoamingWindows11InstallationAssistant 路徑。

它會解包出信息竊取器，並生成一個名為“Windows11InstallationAssistant.scr”的新克隆進程來執行相關代理。

不過這款惡意軟件的功能，倒是沒有玩出其它新的花樣—— 包括收集Web 瀏覽器的cookie 和已保存的憑據、加密貨幣錢包、以及文件系統中的數據。

惡意軟件與命令和控制服務器的通訊記錄截圖

最後可知Inno Stealer 惡意軟件的攻擊目標相當廣泛，其中包括了Chrome、Edge、Brave、Opera、Vivaldi、360 Browser 和Comodo 等瀏覽器。

所有被盜數據會被通過PowerShell 命令複製到受感染設備上的臨時目錄並加密處理，然後發送到被攻擊者所控制的C2 服務器上（windows-server031.com）。

更雞賊的是，攻擊者還會只在夜間執行額外的操作，以利用受害者不在計算機身旁的時間段來鞏固自身的長期隱蔽駐留。

綜上所述，如果你的設備被微軟官方兼容性檢查工具認定不符合Windows 11 操作系統升級要求，還請不要盲目繞過限制，否則會帶來一系列缺陷和嚴重的安全風險。