Bbabo NET

العلوم والتكنولوجيا أخبار

تحذر HP من البرامج الضارة RedLine Stealer التي تتنكر في شكل برنامج تثبيت Windows 11

تكشف مدونة HP للأمن السيبراني عن طريقة جديدة متطورة لتوزيع البرامج الضارة المتخفية في صورة مثبت Windows 11 والتي يمكن أن تستعصي على اكتشاف برامج مكافحة الفيروسات.

بعد يوم واحد فقط من إعلان Microsoft أن Windows 11 قد وصل إلى مرحلته النهائية من الإتاحة ، مما يعني أنه يمكن نشره على نطاق واسع على الأجهزة المؤهلة ، اكتشفت HP أن كيانًا لديه معلومات تسجيل تشير إلى موسكو قد سجل تحديثًا جديدًا لنظام windows [.] com نطاق.

كان عنوان هذا المجال موقعًا يحاكي مظهر عرض مورد حقيقي من Microsoft لتنزيل Windows 11. أدى الزر "تنزيل الآن" فقط إلى تنزيل أرشيف Windows11InstallationAssistant.zip المستضاف على شبكة توصيل محتوى Discord.

يزن هذا الأرشيف المشبوه 1.5 ميغا بايت فقط ، ولكن يتم فك ضغطه إلى 753 ميغا بايت ، 751 ميغا بايت منها يشغلها ملف Windows11InstallationAssistant.exe القابل للتنفيذ. الميجابايت المتبقية هي ست مكتبات Windows وملف XML واحد. لحزم 753 ميجابايت في 1.5 ميجابايت ، يجب أن تكون نسبة الضغط 99.8٪ ، وهي نسبة كبيرة مقارنة بالمتوسط ​​القابل للتنفيذ البالغ 47٪.

تعبئة 0x30 في Windows11InstallationAssistant.exe

يتم تحقيق هذه الدرجة العالية من الضغط عن طريق ملء معظم الملفات الثنائية ببايتات قابلة للضغط بسهولة 0x30. تجعل هذه المساحة المتروكة الملف المصدر كبيرًا بما يكفي بحيث لا تتمكن أدوات التحليل من معالجته. نتيجة لذلك ، يمكن أن تتجنب البرامج الضارة الكشف عن طريق برامج مكافحة الفيروسات ، مما يعرض المستخدمين المطمئنين للمخاطر.

عند تنفيذه ، يبدأ هذا الملف عملية PowerShell باستخدام الوسيطة المشفرة ، والتي تبدأ عملية cmd.exe بتأخير مدته 21 ثانية. بعد 21 ثانية ، تطلب العملية الأصلية win11.jpg من الخادم البعيد ، وهي ليست في الحقيقة صورة JPEG ، ولكنها ملف DLL يتم حفظ محتوياته بترتيب عكسي.

ملف DLL الموسع عند عرضه في محرر نصي

ثم تعيد العملية الأولية ترتيب محتويات الملف الناتج وتحميل DLL الناتج ، والذي يتضح أنه حمولة RedLine Stealer. يقوم هذا البرنامج بجمع معلومات مفصلة عن النظام: أسماء المستخدمين ، أسماء أجهزة الكمبيوتر ، قوائم البرامج والمعدات المثبتة. بالإضافة إلى ذلك ، تستخرج البرامج الضارة كلمات المرور المحفوظة في المتصفحات ، بالإضافة إلى بيانات الملء التلقائي ، بما في ذلك المعلومات من البطاقات المصرفية ومحافظ العملات المشفرة.

أدت سلسلة العمليات إلى إطلاق RedLine Stealer

تذكرنا حملة التثبيت الوهمي الجديدة لنظام التشغيل Windows 11 بحملة أخرى قامت HP بتحليلها مؤخرًا ، والتي تخفى فيها أحد المهاجمين برامج ضارة على أنها مثبّت تطبيق Discord. قام بتسجيل المجال discordappp [.] com من خلال نفس المزود ، واستخدم نفس خوادم DNS ، وقام بتوزيع البرامج الضارة من نفس العائلة كما في حالة مثبت Windows 11.

ترجمة الأخبار: تحذر شركة HP من تنكر برنامج RedLine Stealer الخبيث في صورة مثبتات Windows 11

تحذر HP من البرامج الضارة RedLine Stealer التي تتنكر في شكل برنامج تثبيت Windows 11