Блогът на HP за киберсигурност разкрива усъвършенстван нов метод за разпространение на зловреден софтуер, маскиран като инсталатор на Windows 11, който може да избегне откриването на антивирусна програма.
Само ден след като Microsoft обяви, че Windows 11 е достигнала последната си фаза на наличност, което означава, че може да бъде широко разгърнато на отговарящи на условията устройства, HP откри, че юридическо лице с регистрационна информация, сочеща към Москва, е регистрирало нов надстроен Windows[.]com домейн.
Адресът на този домейн беше сайт, който имитира външния вид на истински ресурс на Microsoft, предлагащ изтегляне на Windows 11. Само бутонът Download Now доведе до изтеглянето на архива на Windows11InstallationAssistant.zip, хостван в мрежата за доставка на съдържание Discord.
Този подозрителен архив тежи само 1,5 MB, но е декомпресиран в 753 MB, 751 MB от които са заети от изпълнимия файл Windows11InstallationAssistant.exe. Останалите два мегабайта са шест библиотеки на Windows и един XML файл. За да опаковате 753MB в 1,5MB, коефициентът на компресия трябва да бъде 99,8%, което е много в сравнение със средната за изпълнение от 47%.
Попълване на 0x30 в Windows11InstallationAssistant.exe
Такава висока степен на компресия се постига чрез запълване на по-голямата част от двоичния файл с лесно компресируеми байтове 0x30. Това подпълване прави изходния файл достатъчно голям, така че инструментите за анализ да не могат да го обработят. В резултат на това зловредният софтуер може да избегне откриването от антивирусен софтуер, излагайки нищо неподозиращите потребители на риск.
Когато се изпълни, този файл стартира процес на PowerShell с кодирания аргумент, който стартира процеса cmd.exe със закъснение от 21 секунди. След 21 секунди оригиналният процес изисква win11.jpg от отдалечения сървър, който всъщност не е JPEG изображение, а DLL, чието съдържание се записва в обратен ред.
Разширен DLL файл, когато се гледа в текстов редактор
След това първоначалният процес пренарежда съдържанието на получения файл и зарежда получената DLL, която се оказва полезното натоварване на RedLine Stealer. Тази програма събира подробна информация за системата: потребителски имена, имена на компютри, списъци с инсталиран софтуер и оборудване. Освен това зловредният софтуер извлича пароли, запазени в браузърите, както и данни за автоматично попълване, включително информация от банкови карти и портфейли за криптовалута.
Верига от процеси, водеща до стартирането на RedLine Stealer
Тази нова кампания за фалшиви инсталатори на Windows 11 напомня на друга кампания, анализирана наскоро от HP, в която нападател прикри зловреден софтуер като програма за инсталиране на приложение Discord. Той регистрира домейна discordappp[.]com чрез същия доставчик, използва същите DNS сървъри и разпространява злонамерен софтуер от същото семейство, както в случая с инсталатора на Windows 11.
Превод на новини: HP предупреждава за Tricky RedLine Stealer злонамерен софтуер, маскиран като инсталатори на Windows 11
bbabo.Net