У блогу кампаніі HP, прысвечаным пытанням кібербяспекі, з'явілася інфармацыя аб новым выдасканаленым метадзе распаўсюджвання шкоднаснага ПА пад выглядам усталёўшчыка Windows 11, здольнага выслізгваць ад выяўлення антывіруснымі сродкамі.
Усяго праз дзень пасля аб'явы Microsoft аб дасягненні Windows 11 заключнай фазы даступнасці, якая разумее магчымасць шырокага разгортвання на падыходных прыладах, у HP выявілі, што нейкі суб'ект, рэгістрацыйная інфармацыя якога паказвае на Маскву, зарэгістраваў новы дамен windows-upgraded.
Па адрасе гэтага дамена знаходзіўся сайт, які імітуе аблічча рэальнага рэсурсу Microsoft, які прапануе запампаваць Windows 11. Вось толькі кнопка Download Now вяла да спампоўкі архіва Windows11InstallationAssistant.zip, размешчанага ў сетцы дастаўкі змесціва Discord.
Гэты падазроны архіў важыць усяго 1.5МБ, але распакоўваецца пры гэтым у 753МБ, 751МБ з якіх займае выкананы файл Windows11InstallationAssistant.exe. Пакінутыя два мегабайта складаюць шэсць бібліятэк Windows і адзін XML-файл. Каб спакаваць 753МБ у 1.5МБ, ступень сціску павінна складаць 99.8%, што вельмі шмат у параўнанні з сярэднім паказчыкам для выкананых файлаў роўным 47%.
Запаўненне 0x30 у файле Windows11InstallationAssistant.exe
Гэтак высокая ступень сціску дасягаецца за рахунак запаўнення большай часткі бінарніка лёгкасціскальнымі байтамі 0x30. Гэтае запаўненне робіць зыходны файл досыць вялікім, каб яго не маглі апрацаваць прылады аналізу. У выніку шкоднас можа пазбягаць выяўленні антывірусным ПА, падвяргаючы пагрозе нічога не падазравалых карыстачоў.
Пры выкананні гэты файл запускае працэс PowerShell з закадаваным аргументам, які стартуе працэс cmd.exe з затрымкай у 21 секунду. Па сканчэнні 21 секунды зыходны працэс запытвае з выдаленага сервера файл win11.jpg, які на справе з'яўляецца не выявай JPEG, а DLL-бібліятэкай, чыё змесціва захавана ў зваротным парадку.
Разгорнуты DLL-файл пры праглядзе ў тэкставым рэдактары
Затым пачатковы працэс аднаўляе парадак змесціва атрыманага файла і загружае атрыманую DLL, якая аказваецца карыснай нагрузкай RedLine Stealer. Гэтая праграма збірае падрабязную інфармацыю аб сістэме: імёны карыстальнікаў, кампутараў, спісы ўсталяванага ПА і абсталяванні. Акрамя гэтага, шкоднас выцэджвае захаваныя ў браўзэрах паролі, а таксама дадзеныя для аўтазапаўнення, улучальныя інфармацыю банкаўскіх карт і криптовалютных кашалькоў.
Ланцужок працэсаў, якая вядзе да запуску RedLine Stealer
Гэтая новая кампанія з падробленым усталёўшчыкам Windows 11 нагадвае іншую нядаўна прааналізаваную HP кампанію, у якой зламыснік маскіраваў шкоднас пад усталёўшчык прыкладання Discord. Ён зарэгістраваў дамен discordappp[.]com праз таго ж правайдэра, выкарыстоўваў тыя ж DNS-сервера і распаўсюджваў малвар з таго ж сямейства, што і ў выпадку з усталёўшчыкам Windows 11.
Пераклад навіны: HP Warns Trick RedLine Stealer Malware Masquerading As Windows 11 Installers
bbabo.Net