Hackers estão atraindo usuários desavisados com uma atualização falsa do Windows 11 que vem com malware que rouba dados do navegador e carteiras de criptomoedas. A campanha está ativa e usa como isca “resultados de pesquisa” para disseminar um site que imita a página promocional da Microsoft para o Windows 11.
A Microsoft disponibilizou uma ferramenta de atualização para os usuários verificarem se sua máquina suporta o sistema operacional mais recente da empresa. Um requisito é o suporte para Trusted Platform Module (TPM) versão 2.0, que está presente em máquinas com menos de quatro anos.
O site malicioso que oferece o falso Windows 11 apresenta os logotipos oficiais da Microsoft, favicons e um convidativo botão “Baixar agora”. Se ao pessoa carregar o site malicioso por meio de conexão direta — o download não está disponível por Tor ou VPN —,receberá um arquivo ISO que abriga o executável para um novo malware de roubo de informações.
Os pesquisadores de ameaças da CloudSEK analisaram o malware e compartilharam um relatório técnico exclusivamente com a BleepingComputer. De acordo com a CloudSEK, os operadores de ameaças por trás dessa campanha estão usando um novo malware que os pesquisadores chamaram de “Inno Stealer” devido ao uso do instalador do Windows Inno Setup.
Os pesquisadores dizem que o Inno Stealer não tem nenhuma semelhança de código com outros ladrões de informações atualmente em circulação e não encontraram evidências do malware sendo carregado na plataforma de verificação Virus Total.
O arquivo do carregador, baseado em Delphi é o executável “instalação do Windows 11” contido na ISO, que, quando iniciado, descarrega um arquivo temporário chamado is-PN131.tmp e cria outro arquivo .TMP onde o carregador grava 3.078 KB de dados. A CloudSEK explica que o carregador gera um novo processo usando a API CreateProcess do Windows que ajuda a gerar novos processos, estabelecer persistência e plantar quatro arquivos.
Veja isso
Bug no WPBT permite instalar rootkits em PCs Windows
Grupo Lazarus usa o Windows Update para infectar PCs
A persistência é obtida adicionando um arquivo .LNK (atalho) no diretório de inicialização e usando icacls.exe para definir suas permissões de acesso para furtividade. Dois dos quatro arquivos descartados são scripts de comando do Windows para desabilitar a segurança do “Registro”, adicionar exceções do Defender, desinstalar produtos de segurança e excluir o volume de sombra.
Segundo os pesquisadores, o malware também remove soluções de segurança da Emsisoft e da ESET, provavelmente porque esses produtos o detectam como malicioso.
O fato é que toda a situação de atualização do Windows 11 criou um terreno fértil para a proliferação dessas campanhas, e não é a primeira vez que algo assim é relatado. Os pesquisadores recomendam evitar o download de arquivos ISO de fontes obscuras e apenas realizar as principais atualizações do sistema operacional a partir do painel de controle do Windows 10 ou obter os arquivos de instalação diretamente da fonte.
Se uma atualização para o Windows 11 não estiver disponível para o usuário, não faz sentido tentar contornar as restrições manualmente, pois isso trará um conjunto de desvantagens e riscos de segurança graves.
