必需人员发现新的虚假“微软Win11下载网站”

IT之家 4 月初 19 日传闻，据 Neowin 引述，自从 Windows 11 于 2021 年 6 月初首次发表以来，之前有许多大型活动旨在佯装人们下载不道德的故意 Windows 11 MS-DOS。虽然这种大型活动平息了一段时间，但却是过去又卷土重来，这一次，情况可能极其致命。如今 Windows 11 之前普遍可用，使其踏入当今的可怕场景。

CloudSEK NSA公司找到了一个类似特殊性的新故意软件，新的冒名顶替网站看起来像微软官方网站，但实际上，由于应用于 Inno Setup Windows，分发的份文件还包括了“Inno Stealer”故意软件MS-DOS。这是一种独创的偷去文档故意软件，在 Virus Total 上没有找到类似的样本。

故意网站的 URL 是“windows11-upgrade11 [.] com”，却是 Inno Stealer 大型活动发起者几个月初之前从另一个类似故意软件大型活动中的获取了页面，应用于相同的技巧来欺骗潜在的受害者。

CloudSEK 表示，下载受感染者的 ISO 后，就会在后台直通多个进程以感染者软件的控制系统。它创建 Windows 指令脚本以移除默认可靠度、添加排除 Defender 、卸载人身安全产品并截图 shadow volumes。

最后，就会创建一个 .SCR 份文件，该份文件是实际传递故意增益的份文件，在这种情况下，受感染者控制系统出现请注意目录中的的新型 Inno Stealer 故意软件：

C:Users\AppDataRoamingWindows11InstallationAssistant

故意软件增益份文件的名称是“Windows11InstallationAssistant.scr”。

请注意是用左图表解释的整个处理过程：

CloudSEK 据悉 Inno 文档偷去故意软件所追求的目标，最主要IE和加密钱包。这些如下左图所示。首先，是IE，然后是加密钱包：