HP-jev blog o kibernetski varnosti razkriva sofisticirano novo metodo za distribucijo zlonamerne programske opreme, prikrite kot namestitveni program Windows 11, ki se lahko izogne protivirusnemu zaznavanju.
Le dan po tem, ko je Microsoft objavil, da je Windows 11 dosegel svojo zadnjo fazo razpoložljivosti, kar je pomenilo, da bi ga lahko široko uporabljali na primernih napravah, je HP odkril, da je subjekt z registracijskimi informacijami, ki kažejo na Moskvo, registriral nov nadgrajen sistem Windows[.]com domena.
Naslov te domene je bilo spletno mesto, ki posnema videz pravega Microsoftovega vira, ki ponuja prenos sistema Windows 11. Samo gumb Prenesi zdaj je vodil do prenosa arhiva Windows11InstallationAssistant.zip, ki gostuje v omrežju za dostavo vsebin Discord.
Ta sumljivi arhiv tehta le 1,5 MB, vendar je razpakiran v 753 MB, od tega 751 MB zaseda izvedljiva datoteka Windows11InstallationAssistant.exe. Preostala dva megabajta sta šest knjižnic Windows in ena datoteka XML. Za pakiranje 753 MB v 1,5 MB bi moralo biti razmerje stiskanja 99,8 %, kar je veliko v primerjavi z izvedljivim povprečjem 47 %.
Zapolnitev 0x30 v Windows11InstallationAssistant.exe
Tako visoko stopnjo stiskanja dosežemo tako, da večino binarne datoteke napolnimo z lahko stisljivimi bajti 0x30. To oblazinjenje naredi izvorno datoteko dovolj veliko, da je orodja za analizo ne morejo obdelati. Posledično se zlonamerna programska oprema lahko izogne odkrivanju protivirusne programske opreme, zaradi česar so nič hudega sluteči uporabniki izpostavljeni tveganju.
Ko se izvede, ta datoteka zažene proces PowerShell s kodiranim argumentom, ki zažene proces cmd.exe z zamikom 21 sekund. Po 21 sekundah izvirni proces od oddaljenega strežnika zahteva win11.jpg, ki v resnici ni slika JPEG, temveč DLL, katere vsebina je shranjena v obratnem vrstnem redu.
Razširjena datoteka DLL, ko si jo ogledate v urejevalniku besedil
Začetni proces nato prerazporedi vsebino nastale datoteke in naloži nastalo DLL, za katero se izkaže, da je koristna obremenitev RedLine Stealer. Ta program zbira podrobne informacije o sistemu: uporabniška imena, imena računalnikov, sezname nameščene programske opreme. Poleg tega zlonamerna programska oprema ekstrahira gesla, shranjena v brskalnikih, pa tudi podatke samodejnega izpolnjevanja, vključno z informacijami z bančnih kartic in denarnic za kriptovalute.
Procesna veriga, ki vodi do lansiranja RedLine Stealer
Ta nova kampanja lažnega namestitvenega programa Windows 11 spominja na drugo kampanjo, ki jo je nedavno analiziral HP, v kateri je napadalec prikril zlonamerno programsko opremo kot namestitveni program Discord. Prek istega ponudnika je registriral domeno discordappp[.]com, uporabljal iste strežnike DNS in distribuiral zlonamerno programsko opremo iz iste družine kot v primeru namestitvenega programa Windows 11.
Prevod novic: HP opozarja na zapleteno zlonamerno programsko opremo RedLine Stealer, ki se maskira kot namestitveni program Windows 11
bbabo.Net