Sabe-se que a Microsoft exige requisitos mínimos para a instalação do Windows 11, mas nem todos estão dispostos a conferir se suas máquinas são ou não compatíveis, chegando até a querer instalar o sistema operacional mesmo sabendo que não há compatibilidade. Vendo essa situação, hackers começaram a se aproveitar disponibilizando uma página que imita o site da Microsoft, onde é oferecido o Windows 11 para download através do botão "Download Now" ("baixar agora"). Ao baixar o arquivo falso da ISO do Windows 11, o usuário terá suas informações roubadas ao executá-lo.

O site fake da Microsoft oferecendo o Windows 11 ainda está ativo e aparece em destaque nos resultados de pesquisa. Ao realizar o download da ISO falsa do Windows 11, um malware será executado e serão roubados dados do navegador do usuário, além de informações de carteiras de criptomoedas. A página maliciosa apresenta logotipos oficiais da Microsoft, favicons e o atrativo botão "Download Now" ("baixar agora").

Site fake da Microsoft para o download do Windows 11. Fonte: bleepingcomputer
Site fake da Microsoft para o download do Windows 11. Fonte: bleepingcomputer

Como a infecção do malware ocorre no PC da vítima

Pesquisadores da CloudSEK, empresa de pesquisa em segurança contra ameaças online, compartilharam um relatório técnico com o site BleepingComputer, onde foi dito que os hackers responsáveis pela disseminação do malware injetado na ISO do Windows 11 estão usando um novo vírus apelidado de "Inno Stealer", devido ao uso do instalador "Inno Setup Windows".

De acordo com os funcionários da CloudSEK, o Inno Stealer não possui um código semelhante a outros programas de roubo de informações que atualmente estão em circulação. Devido a isso, a plataforma Virus Total não conseguiu detectar o malware.

Na ISO falsa do Windows 11, há um executável que libera um arquivo temporário chamado is-PN131.tmp que cria outro arquivo com extensão ".TPM", onde são gravados 3.078 KB de dados. A CloudSEK que o malware gera um novo processo usando a API "CreateProcess Windows", gerando novos processos e fazendo com que a persistência seja estabelecida e quatro arquivos sejam implantados. Através da adição de um arquivo .LNK (atalho) no diretório de inicialização e a utilização do icacls.exe, para definir as permissões de acesso para os hackers, a invasão é completada.

Dois dos quatro arquivos implantados são scripts de comando do Windows para desabilitar a segurança do Registro, adicionar exceções do Defender, desinstalar programas de segurança e deletar o "shadow volume" (volume de sombra). Ao mesmo tempo, o terceiro arquivo executa comandos para obter os mais altos privilégios do sistema. Já o quarto arquivo é um script VBA para executar o dfl.cmd.

Em uma segunda parte da infecção, um arquivo com extensão. SCR é inserido no endereço "C:UsersAppDataRoamingWindows11InstallationAssistant " do PC da vítima. Esse arquivo é o responsável pelo roubo de informações através da execução de um novo processo chamado "Windows11InstallationAssistant.scr".

Esquema mostrando como ocorre a infecção do computador infectado com o malware Inno Stealer. Fonte: CloudSEK
Esquema mostrando como ocorre a infecção do computador infectado com o malware "Inno Stealer". Fonte: CloudSEK

Como evitar que seu PC seja infectado pelo malware embutido na ISO falsa do Windows 11

O recomendado para evitar que seu PC seja infectado pelo malware embutido na ISO falsa do Windows 11 é evitar o download de "fontes obscuras". Para realizar o download do Windows 11, procure utilizar o painel de controle do Windows 10 ou baixar os arquivos de instalação diretamente da fonte acessando este link.

Caso a atualização do Windows 11 não esteja disponível para você, não faz sentido você contornar as restrições impostas pela Microsoft manualmente, pois seu PC ficará vulnerável a ameaças ao não receber atualizações já que a desenvolvedora do sistema operacional não oferece suporte para máquinas que não atendam aos requisitos mínimos.