Blog spoločnosti HP o kybernetickej bezpečnosti odhaľuje novú sofistikovanú metódu distribúcie malvéru maskovaného ako inštalačný program Windows 11, ktorý môže uniknúť detekcii antivírusov.
Len deň po tom, čo spoločnosť Microsoft oznámila, že Windows 11 dosiahol svoju konečnú fázu dostupnosti, čo znamenalo, že by mohol byť široko nasadený na vhodných zariadeniach, spoločnosť HP zistila, že subjekt s registračnými informáciami smerujúcimi do Moskvy zaregistroval nový windows-upgraded[.]com. domény.
Adresa tejto domény bola stránka, ktorá napodobňuje vzhľad skutočného zdroja spoločnosti Microsoft, ktorý ponúka stiahnutie systému Windows 11. Iba tlačidlo Stiahnuť teraz viedlo k stiahnutiu archívu Windows11InstallationAssistant.zip hosťovaného v sieti na doručovanie obsahu Discord.
Tento podozrivý archív váži iba 1,5 MB, ale je dekomprimovaný na 753 MB, z čoho 751 MB zaberá spustiteľný súbor Windows11InstallationAssistant.exe. Zvyšné dva megabajty sú šesť Windows knižníc a jeden XML súbor. Na zabalenie 753 MB do 1,5 MB by kompresný pomer musel byť 99,8 %, čo je veľa v porovnaní s priemerom spustiteľných súborov 47 %.
Vyplnenie 0x30 v systéme Windows11InstallationAssistant.exe
Takýto vysoký stupeň kompresie sa dosiahne vyplnením väčšiny binárneho súboru ľahko komprimovateľnými bajtmi 0x30. Vďaka tejto výplni je zdrojový súbor dostatočne veľký, aby ho analytické nástroje nedokázali spracovať. V dôsledku toho sa malvér môže vyhnúť detekcii antivírusovým softvérom a vystaviť nič netušiacich používateľov riziku.
Po spustení tento súbor spustí proces PowerShell so zakódovaným argumentom, ktorý spustí proces cmd.exe s oneskorením 21 sekúnd. Po 21 sekundách si pôvodný proces vyžiada zo vzdialeného servera súbor win11.jpg, čo v skutočnosti nie je obrázok JPEG, ale knižnica DLL, ktorej obsah je uložený v opačnom poradí.
Rozbalený súbor DLL pri zobrazení v textovom editore
Počiatočný proces potom zmení poradie obsahu výsledného súboru a načíta výslednú knižnicu DLL, ktorá sa ukáže ako užitočné zaťaženie RedLine Stealer. Tento program zhromažďuje podrobné informácie o systéme: používateľské mená, názvy počítačov, zoznamy nainštalovaného softvéru a vybavenia. Okrem toho malvér extrahuje heslá uložené v prehliadačoch, ako aj údaje automatického dopĺňania vrátane informácií z bankových kariet a peňaženiek s kryptomenami.
Procesný reťazec vedúci k spusteniu RedLine Stealer
Táto nová kampaň na falošnú inštaláciu systému Windows 11 pripomína inú kampaň nedávno analyzovanú spoločnosťou HP, v ktorej útočník maskoval malvér ako inštalátor aplikácie Discord. Zaregistroval doménu discordappp[.]com cez rovnakého poskytovateľa, používal rovnaké servery DNS a distribuoval malvér z rovnakej rodiny ako v prípade inštalátora Windows 11.
Preklad správ: HP varuje pred zložitým škodlivým softvérom RedLine Stealer, ktorý sa vydáva za inštalátory systému Windows 11
bbabo.Net