Sajnos korántsem szokatlan jelenség, hogy a vírusterjesztők jól ismert szoftvereknek álcázzák a kártékony programjaikat annak érdekében, hogy ilyen módon tévesszék meg a felhasználókat.

Ezúttal azonban a Windows 11 került sorra, amelynek egyik jellegzetessége, hogy nem minden számítógépre telepíthető (egyebek mellett a TPM-követelmények miatt). Ezért sokan keresik világszerte azokat a lehetőségeket, amik révén a legegyszerűbben, mindenféle mélyebb szintű bűvészkedés nélkül tudják telepíteni a Windows legújabb kiadását akár régebbi számítógépekre is. Pontosan tudják ezt a csalók is, akik azzal hitegetnek, hogy a weboldalukról egy gyorsan telepíthető Windows 11-et lehet letölteni. Ez a weblap egyébként úgy fest, mintha a Microsoft egyik hivatalos oldala lenne, de a webcíme azért árulkodik arról, hogy valami nagyon nincs rendben vele.

A CloudSEK biztonsági szakértői által felfedezett és vizsgált kártékony program az Inno Stealer nevet kapta. A Delphi alapokon nyugvó károkozó korábbról nem ismert összetevőkkel rendelkezik, de azért a végső célja nem okozott nagy meglepetést a szakemberek számára.

Az Inno Stealer többlépcsős támadások végrehajtására alkalmas, ami a detektálását igencsak megnehezítheti. Amikor a felhasználó a hamis weboldalról letölti a felkínált ISO-fájlt, és megnyitja azt, akkor abból számos fájl kerül fel a rendszerre. Köztük egy “Windows 11 setup” futtatható állomány is, amely egy háttérfolyamatot indít el.

A fertőzés során a károkozó különféle parancsfájlok, scriptek révén manipulálja a regisztrációs adatbázist, kibővíti a Defender biztonsági szoftver kivétellistáját, és biztonsági szoftvereket állít le. (Jelenleg elsősorban az ESET és az Emsisoft alkalmazásaira allergiás.) Amint ezekkel a ténykedéseivel végez, akkor újabb fájlokat másol be egy “C:\Users\[…]\AppData\Roaming\Windows11InstallationAssistant” nevű mappába, és egy SCR-állomány révén végül elindítja a tényleges károkozást végző összetevőjét, amelynek célja nem más, mint az adatlopás.

Az Inno Stealer elsősorban webböngészőkből képes sütiket, mentett bizalmas és hitelesítő adatokat kiexportálni, de a kriptopénztárcákat sem veti meg. A megkaparintott adatokat a felhasználó TEMP (átmeneti fájlok tárolására szolgáló) mappájába másolja be, majd titkosítja azokat, és feltölti a vezérlőszerverére.

Védekezési lehetőségek

Az Inno Stealer – és sok más hasonló módon trükköző károkozó – ellen naprakészen tartott víruskeresőkkel, valamint biztonságtudatos netezéssel lehet felvenni a kesztyűt. Soha nem célszerű ismeretlen forrásból letölteni telepítőprogramokat. A Windows 11 beszerzése is csak a Microsoft hivatalos weboldaláról javasolt. Amikor egy weboldalt böngészünk, és azon adatot adunk meg, vagy arról fájlokat töltünk le, akkor mindenek előtt meg kell győződni arról, hogy hivatalos, legális weboldalon járunk-e. Ezt elsősorban a címsor és a weboldal tanúsítványának szemügyre vételével tehetjük meg.

Forrás: Biztonságportál