El blog de ciberseguridad de HP revela un nuevo y sofisticado método para distribuir malware disfrazado como un instalador de Windows 11 que puede eludir la detección antivirus.
Justo un día después de que Microsoft anunciara que Windows 11 había llegado a su fase final de disponibilidad, lo que significaba que podía implementarse ampliamente en dispositivos elegibles, HP descubrió que una entidad con información de registro que apuntaba a Moscú había registrado un nuevo Windows-upgraded[.]com dominio.
La dirección de este dominio era un sitio que imita la apariencia de un recurso real de Microsoft que ofrece descargar Windows 11. Solo el botón Descargar ahora condujo a la descarga del archivo Windows11InstallationAssistant.zip alojado en la red de entrega de contenido de Discord.
Este archivo sospechoso pesa solo 1,5 MB, pero se descomprime en 753 MB, 751 MB de los cuales están ocupados por el archivo ejecutable Windows11InstallationAssistant.exe. Los dos megabytes restantes son seis bibliotecas de Windows y un archivo XML. Para empaquetar 753 MB en 1,5 MB, la relación de compresión debería ser del 99,8 %, que es mucho en comparación con el promedio ejecutable del 47 %.
Llenar 0x30 en Windows11InstallationAssistant.exe
Este alto grado de compresión se logra llenando la mayor parte del binario con bytes 0x30 fácilmente comprimibles. Este relleno hace que el archivo de origen sea lo suficientemente grande como para que las herramientas de análisis no puedan procesarlo. Como resultado, el malware puede evadir la detección por parte del software antivirus, exponiendo al riesgo a los usuarios desprevenidos.
Cuando se ejecuta, este archivo inicia un proceso de PowerShell con el argumento codificado, que inicia el proceso cmd.exe con un retraso de 21 segundos. Después de 21 segundos, el proceso original solicita win11.jpg del servidor remoto, que en realidad no es una imagen JPEG, sino una DLL cuyo contenido se guarda en orden inverso.
Archivo DLL expandido cuando se ve en un editor de texto
Luego, el proceso inicial reordena el contenido del archivo resultante y carga la DLL resultante, que resulta ser la carga útil de RedLine Stealer. Este programa recopila información detallada sobre el sistema: nombres de usuario, nombres de computadoras, listas de software y equipos instalados. Además, el malware extrae las contraseñas guardadas en los navegadores, así como los datos de autocompletado, incluida la información de las tarjetas bancarias y las billeteras de criptomonedas.
Cadena de procesos que lleva al lanzamiento de RedLine Stealer
Esta nueva campaña de instalación falsa de Windows 11 recuerda a otra campaña que HP analizó recientemente, en la que un atacante disfrazó el malware como un instalador de la aplicación Discord. Registró el dominio discordappp[.]com a través del mismo proveedor, usó los mismos servidores DNS y distribuyó malware de la misma familia que en el caso del instalador de Windows 11.
Traducción de noticias: HP advierte sobre el complicado malware RedLine Stealer que se hace pasar por instaladores de Windows 11
bbabo.Net