Il blog sulla sicurezza informatica di HP rivela un nuovo metodo sofisticato per la distribuzione di malware camuffato da programma di installazione di Windows 11 che può eludere il rilevamento antivirus.
Appena un giorno dopo che Microsoft ha annunciato che Windows 11 aveva raggiunto la sua fase finale di disponibilità, il che significava che poteva essere ampiamente distribuito su dispositivi idonei, HP ha scoperto che un'entità con informazioni di registrazione che puntano a Mosca aveva registrato un nuovo Windows [.]com aggiornato dominio.
L'indirizzo di questo dominio era un sito che imita l'aspetto di una vera risorsa Microsoft che offre il download di Windows 11. Solo il pulsante Scarica ora ha portato al download dell'archivio Windows11InstallationAssistant.zip ospitato sulla rete di distribuzione dei contenuti Discord.
Questo archivio sospetto pesa solo 1,5 MB, ma viene decompresso in 753 MB, di cui 751 MB sono occupati dal file eseguibile Windows11InstallationAssistant.exe. I restanti due megabyte sono sei librerie Windows e un file XML. Per comprimere 753 MB in 1,5 MB, il rapporto di compressione dovrebbe essere del 99,8%, che è molto rispetto alla media eseguibile del 47%.
Popolamento 0x30 in Windows11InstallationAssistant.exe
Un così alto grado di compressione si ottiene riempiendo la maggior parte del file binario con byte facilmente comprimibili 0x30. Questo riempimento rende il file di origine sufficientemente grande da impedire agli strumenti di analisi di elaborarlo. Di conseguenza, il malware può eludere il rilevamento da parte del software antivirus, esponendo gli utenti ignari al rischio.
Quando viene eseguito, questo file avvia un processo di PowerShell con l'argomento codificato, che avvia il processo cmd.exe con un ritardo di 21 secondi. Dopo 21 secondi, il processo originale richiede win11.jpg dal server remoto, che in realtà non è un'immagine JPEG, ma una DLL il cui contenuto viene salvato in ordine inverso.
File DLL espanso se visualizzato in un editor di testo
Il processo iniziale riordina quindi il contenuto del file risultante e carica la DLL risultante, che risulta essere il payload RedLine Stealer. Questo programma raccoglie informazioni dettagliate sul sistema: nomi utente, nomi di computer, elenchi di software e apparecchiature installati. Inoltre, il malware estrae le password salvate nei browser, nonché i dati di riempimento automatico, comprese le informazioni da carte bancarie e portafogli di criptovaluta.
Catena di processi che porta al lancio di RedLine Stealer
Questa nuova campagna di installazione falsa di Windows 11 ricorda un'altra campagna recentemente analizzata da HP, in cui un utente malintenzionato mascherava malware da programma di installazione dell'app Discord. Ha registrato il dominio discordappp[.]com tramite lo stesso provider, utilizzato gli stessi server DNS e distribuito malware della stessa famiglia come nel caso del programma di installazione di Windows 11.
Traduzione di notizie: HP avverte di un malware ingannevole RedLine Stealer mascherato da programmi di installazione di Windows 11
bbabo.Net