O blog de segurança cibernética da HP revela um novo método sofisticado para distribuir malware disfarçado de instalador do Windows 11 que pode enganar a detecção de antivírus.
Apenas um dia depois que a Microsoft anunciou que o Windows 11 havia atingido sua fase final de disponibilidade, o que significava que poderia ser amplamente implantado em dispositivos qualificados, a HP descobriu que uma entidade com informações de registro apontando para Moscou havia registrado um novo Windows atualizado[.]com domínio.
O endereço desse domínio era um site que imita a aparência de um recurso real da Microsoft oferecendo o download do Windows 11. Somente o botão Baixar agora levava ao download do arquivo Windows11InstallationAssistant.zip hospedado na rede de entrega de conteúdo do Discord.
Esse arquivo suspeito pesa apenas 1,5 MB, mas é descompactado em 753 MB, dos quais 751 MB são ocupados pelo arquivo executável Windows11InstallationAssistant.exe. Os dois megabytes restantes são seis bibliotecas do Windows e um arquivo XML. Para compactar 753 MB em 1,5 MB, a taxa de compactação precisaria ser de 99,8%, o que é muito comparado à média executável de 47%.
Preenchendo 0x30 no Windows11InstallationAssistant.exe
Um grau tão alto de compactação é alcançado preenchendo a maior parte do binário com bytes facilmente compressíveis 0x30. Esse preenchimento torna o arquivo de origem grande o suficiente para que as ferramentas de análise não possam processá-lo. Como resultado, o malware pode evitar a detecção pelo software antivírus, expondo usuários desavisados ao risco.
Quando executado, esse arquivo inicia um processo do PowerShell com o argumento codificado, que inicia o processo cmd.exe com um atraso de 21 segundos. Após 21 segundos, o processo original solicita win11.jpg do servidor remoto, que não é realmente uma imagem JPEG, mas uma DLL cujo conteúdo é salvo na ordem inversa.
Arquivo DLL expandido quando visualizado em um editor de texto
O processo inicial então reordena o conteúdo do arquivo resultante e carrega a DLL resultante, que acaba sendo a carga útil do RedLine Stealer. Este programa coleta informações detalhadas sobre o sistema: nomes de usuários, nomes de computadores, listas de softwares e equipamentos instalados. Além disso, o malware extrai senhas salvas em navegadores, bem como dados de preenchimento automático, incluindo informações de cartões bancários e carteiras de criptomoedas.
Cadeia de processos que leva ao lançamento do RedLine Stealer
Esta nova campanha de instalador falso do Windows 11 é uma reminiscência de outra campanha que a HP analisou recentemente, na qual um invasor disfarçou malware como um instalador de aplicativo Discord. Ele registrou o domínio discordappp[.]com por meio do mesmo provedor, usou os mesmos servidores DNS e distribuiu malware da mesma família que no caso do instalador do Windows 11.
Tradução da notícia: HP avisa sobre malware complicado RedLine Stealer disfarçado de instaladores do Windows 11
bbabo.Net