HP-nin kibertəhlükəsizlik bloqu antivirusun aşkarlanmasından yayına bilən Windows 11 quraşdırıcısı kimi maskalanan zərərli proqramların yayılması üçün mürəkkəb yeni metodu ortaya qoyur.
Microsoft Windows 11-in əlçatanlığın son mərhələsinə çatdığını, yəni onun uyğun cihazlarda geniş şəkildə tətbiq oluna biləcəyini elan etdikdən bir gün sonra HP aşkar etdi ki, Moskvaya işarə edən qeydiyyat məlumatı olan bir müəssisə yeni pəncərələr təkmilləşdirilmiş[.]com-u qeydiyyatdan keçirib. domen.
Bu domenin ünvanı Windows 11-i yükləməyi təklif edən real Microsoft resursunun görünüşünü təqlid edən sayt idi. Yalnız İndi Yüklə düyməsi Discord məzmun çatdırılması şəbəkəsində yerləşdirilən Windows11InstallationAssistant.zip arxivinin yüklənməsinə səbəb oldu.
Bu şübhəli arxivin çəkisi cəmi 1,5 MB, lakin 751 MB-ı Windows11InstallationAssistant.exe icra edilə bilən faylı olan 753 MB-a açılıb. Qalan iki meqabayt altı Windows kitabxanası və bir XML faylıdır. 753MB-ni 1.5MB-a yığmaq üçün sıxılma nisbəti 99.8% olmalıdır ki, bu da icra edilə bilən orta göstərici 47% ilə müqayisədə çoxdur.
Windows11InstallationAssistant.exe-də 0x30 doldurulur
Belə yüksək sıxılma dərəcəsi binarın çox hissəsini asanlıqla sıxıla bilən bayt 0x30 ilə doldurmaqla əldə edilir. Bu doldurma mənbə faylını kifayət qədər böyük edir ki, analiz alətləri onu emal edə bilmir. Nəticədə, zərərli proqramlar antivirus proqramı tərəfindən aşkarlanmaqdan yayına bilər, şübhəsiz istifadəçiləri riskə məruz qoyur.
İcra edildikdə, bu fayl cmd.exe prosesini 21 saniyə gecikmə ilə başlatan kodlaşdırılmış arqumentlə PowerShell prosesini işə salır. 21 saniyədən sonra orijinal proses uzaq serverdən win11.jpg tələb edir, bu əslində JPEG şəkli deyil, məzmunu tərs qaydada saxlanılan DLL-dir.
Mətn redaktorunda baxılan zaman genişləndirilmiş DLL faylı
İlkin proses daha sonra nəticələnən faylın məzmununu yenidən sıralayır və nəticədə RedLine Stealer faydalı yükü olduğu ortaya çıxan DLL-ni yükləyir. Bu proqram sistem haqqında ətraflı məlumat toplayır: istifadəçi adları, kompüter adları, quraşdırılmış proqram və avadanlıqların siyahıları. Bundan əlavə, zərərli proqram brauzerlərdə saxlanılan parolları, həmçinin bank kartlarından və kriptovalyuta pul kisələrindən məlumat daxil olmaqla avtomatik doldurma məlumatlarını çıxarır.
RedLine Stealer-in işə salınmasına səbəb olan proses zənciri
Bu yeni Windows 11 saxta quraşdırıcı kampaniyası HP-nin bu yaxınlarda təhlil etdiyi, təcavüzkarın zərərli proqram təminatını Discord proqram quraşdırıcısı kimi gizlətdiyi başqa kampaniyanı xatırladır. O, discordappp[.]com domenini eyni provayder vasitəsilə qeydiyyatdan keçirdi, eyni DNS serverlərindən istifadə etdi və Windows 11 quraşdırıcısında olduğu kimi eyni ailədən olan zərərli proqramları payladı.
Xəbərlərin tərcüməsi: HP Windows 11 quraşdırıcıları kimi maskalanan çətin RedLine oğurlayan zərərli proqramlar barədə xəbərdarlıq edir
bbabo.Net