2021年6月に発表されたWindows 11は、Windows関連のニュースとしてはここ数年間で最大の注目を集めているといっても良いかもしれません。
Windows 11の発表以後、偽のWindows 11インストーラーをダウンロードさせることを目的とした、悪意のWebサイトが多数発見されていますが、今回、これまででもっとも危険な状況で、偽Webサイトが発見されたことがわかりました(BleepingComputer)。以前偽サイト発見された時期は、技術に明るいWindowsインサイダーのみがWindows 11を利用していましたが、今回は一般ユーザーもWindows 11を利用できる状態にあるためです。
セキュリティ企業のCloudSEKは、Microsoftの公式Webサイトのように見える偽のWebサイトが「Inno Stealer」と呼ばれるマルウェアを含むインストーラーを配布している事を発見したと報告しています。「Inno Stealer」という名前は、マルウェアを配布するためにインストーラーソフト「Inno Setup」を使っていたためで、Virus Totalで同様のサンプルが見つかっていない新種だとのこと(Inno Setup自体は正規のソフトウェアで危険性はありません)。
悪意のあるWebサイトのURLは「windows11-upgrade11[.]com」で、過去の事例の手口を参考にしたものだと見込まれています。ISOファイルダウンロード後、中に含まれているファイルを実行すると、レジストリセキュリティを無効にするWindowsコマンドスクリプトの作成や、Defenderの例外の追加、セキュリティ製品のアンインストール、シャドーボリュームの削除など、システムを無力化するためにバックグラウンドで複数のプロセスが実行され、以下のディレクトリに「Windows11InstallationAssistant.scr」が作成されます。
C:\Users\\AppData\Roaming\Windows11InstallationAssistant
感染プロセスを図示すると以下のようになります。
Inno Stealerのターゲットは、ブラウザの情報や暗号化ウォレットだと分析されています。
Windows 11のISOファイルをダウンロードする場合、ブラウザのアドレスバーに表示されたURLを確認してMicrosoftの正規サイトであるかをどうかを十分に確認する必要がありそうです。