Theo Neowin, mặc dù hoạt động đó đã dừng lại trong một thời gian nhưng dường như nó bắt đầu trở lại với tình hình phức tạp hơn do hệ điều hành này bắt đầu được quan tâm nhiều hơn. Một chiến dịch cung cấp phần mềm độc hại mới dựa trên trình cài đặt Windows 11 đã được phát hiện bởi công ty an ninh mạng CloudSEK khi họ nhận thấy một trang web giả mạo mới trông giống như của Microsoft, nhưng trên thực tế có nhiệm vụ phân phối các tập tin chứa phần mềm độc hại “Inno Stealer” do sử dụng trình cài đặt Inno Setup của Windows. Đây là một phần mềm độc hại mới vì không có mẫu tương tự nào được tìm thấy trên Virus Total.

URL của trang web độc hại là “windows11-upgrade11[.]com”, nơi cung cấp trang tải xuống tập tin Windows 11 ISO bị nhiễm mã độc cho phép chạy các quy trình trong nền để vô hiệu hóa hệ thống của người dùng bị nhiễm. Nó tạo ra các tập lệnh để Windows vô hiệu hóa bảo mật Registry, thêm các ngoại lệ trong Microsoft Defender và gỡ cài đặt các phần mềm bảo mật khác.

Cuối cùng, một tập tin .SCR được tạo ra để tải phần mềm độc hại vào hệ thống, trong trường hợp này là phần mềm độc hại Inno Stealer mới trong thư mục C:\Users\\AppData\Roaming\Windows11InstallationAssistant của hệ thống bị xâm phạm. Tên của tệp tải phần mềm độc hại là “Windows11InstallationAssistant.scr”, và quy trình được thể hiện trong hình ảnh bên dưới. CloudSEK đã xác định các mục tiêu mà phần mềm độc hại Inno Stealer theo đuổi gồm trình duyệt và ví tiền điện tử.

Người dùng được khuyến cáo truy cập vào trang web chính thức của Microsoft nếu muốn tải xuống Windows 11 hoặc thông qua các liên kết tải tập tin Windows 11 ISO chính thức của Microsoft từ các trang web có uy tín.