Blogul de securitate cibernetică al HP dezvăluie o nouă metodă sofisticată de distribuire a malware-ului deghizat în program de instalare Windows 11, care poate evita detectarea antivirusului.

La doar o zi după ce Microsoft a anunțat că Windows 11 a atins faza finală de disponibilitate, ceea ce însemna că ar putea fi implementat pe scară largă pe dispozitive eligibile, HP a descoperit că o entitate cu informații de înregistrare care indică Moscova a înregistrat un nou windows-upgraded[.]com domeniu.

Adresa acestui domeniu a fost un site care imită aspectul unei adevărate resurse Microsoft care oferă descărcare Windows 11. Doar butonul Descărcare acum a dus la descărcarea arhivei Windows11InstallationAssistant.zip găzduită în rețeaua de livrare de conținut Discord.

Această arhivă suspectă cântărește doar 1,5 MB, dar este decomprimată în 753 MB, dintre care 751 MB sunt ocupați de fișierul executabil Windows11InstallationAssistant.exe. Cei doi megaocteți rămași sunt șase biblioteci Windows și un fișier XML. Pentru a împacheta 753 MB în 1,5 MB, raportul de compresie ar trebui să fie de 99,8%, ceea ce este mult în comparație cu media executabilă de 47%.

Se populează 0x30 în Windows11InstallationAssistant.exe

Un astfel de grad ridicat de compresie este atins prin umplerea cea mai mare parte a binarului cu octeți ușor de compresibil 0x30. Această umplutură face fișierul sursă suficient de mare încât instrumentele de analiză să nu îl poată procesa. Drept urmare, malware-ul poate evita detectarea de către software-ul antivirus, expunând utilizatorilor nebănuiți la riscuri.

Când este executat, acest fișier începe un proces PowerShell cu argumentul codificat, care pornește procesul cmd.exe cu o întârziere de 21 de secunde. După 21 de secunde, procesul original solicită win11.jpg de la serverul de la distanță, care nu este chiar o imagine JPEG, ci un DLL al cărui conținut este salvat în ordine inversă.

Fișier DLL extins atunci când este vizualizat într-un editor de text

Procesul inițial reordonează apoi conținutul fișierului rezultat și încarcă DLL-ul rezultat, care se dovedește a fi sarcina utilă RedLine Stealer. Acest program colectează informații detaliate despre sistem: nume de utilizator, nume de computer, liste de software și echipamente instalate. În plus, malware-ul extrage parolele salvate în browsere, precum și datele de completare automată, inclusiv informații de pe cardurile bancare și portofelele criptomonede.

Lanțul de proces care a condus la lansarea RedLine Stealer

Această nouă campanie de instalare falsă pentru Windows 11 amintește de o altă campanie pe care HP a analizat-o recent, în care un atacator a deghizat malware ca un program de instalare a aplicației Discord. A înregistrat domeniul discordappp[.]com prin același furnizor, a folosit aceleași servere DNS și a distribuit malware din aceeași familie ca și în cazul programului de instalare Windows 11.

Traducere de știri: HP avertizează că malware-ul Tricky RedLine Stealer se mascară ca instalatori Windows 11

bbabo.Net