4月19日消息，据Neowin报道，自从Windows 11于2021年6月首次发布以来，已经有许多活动旨在诱使人们下载虚假的恶意Windows 11安装程序。虽然这种活动平息了一段时间，但似乎现在又卷土重来，这一次，情况可能更加致命。如今Windows 11已经普遍可用，使其成为当今的危险场景。

　　CloudSEK网络安全公司发现了一个类似性质的新恶意软件，新的冒名顶替网站看起来像微软官方网站，但实际上，由于使用Inno Setup Windows，分发的文件包含了“Inno Stealer”恶意软件安装程序。这是一种新颖的窃取信息恶意软件，在Virus Total上没有发现类似的样本。

　　恶意网站的URL是“windows11-upgrade11[.]com”，似乎Inno Stealer活动策划者几个月前从另一个类似恶意软件活动中获取了页面，使用相同的技巧来欺骗潜在的受害者。

　　CloudSEK表示，下载受感染的ISO后，会在后台运行多个进程以感染用户的系统。它创建Windows命令脚本以禁用注册表安全性、添加排除Defender、卸载安全产品并删除shadow volumes。

　　最后，会创建一个.SCR文件，该文件是实际传递恶意负载的文件，在这种情况下，受感染系统出现以下目录中的新型Inno Stealer恶意软件：

　　C:Users\AppDataRoamingWindows11InstallationAssistant

　　恶意软件负载文件的名称是“Windows11InstallationAssistant.scr”。

　　以下是用图表解释的整个过程：

　　CloudSEK已确定Inno信息窃取恶意软件所追求的目标，包括浏览器和加密钱包。这些如下图所示。首先，是浏览器，然后是加密钱包：