HP:s cybersäkerhetsblogg avslöjar en sofistikerad ny metod för att distribuera skadlig programvara förklädd till ett Windows 11-installationsprogram som kan undgå antivirusupptäckt.
Bara en dag efter att Microsoft meddelade att Windows 11 hade nått sin sista fas av tillgänglighet, vilket innebar att det kunde distribueras brett på berättigade enheter, upptäckte HP att en enhet med registreringsinformation som pekade mot Moskva hade registrerat en ny Windows-uppgraderad[.]com domän.
Adressen till den här domänen var en webbplats som efterliknar utseendet på en riktig Microsoft-resurs som erbjuder att ladda ner Windows 11. Endast knappen Ladda ner nu ledde till nedladdningen av arkivet Windows11InstallationAssistant.zip som finns på Discord-innehållsleveransnätverket.
Det här misstänkta arkivet väger bara 1,5 MB, men är dekomprimerat till 753 MB, varav 751 MB upptas av den körbara filen Windows11InstallationAssistant.exe. De återstående två megabyte är sex Windows-bibliotek och en XML-fil. För att packa 753 MB till 1,5 MB skulle komprimeringsförhållandet behöva vara 99,8 %, vilket är mycket jämfört med det körbara genomsnittet på 47 %.
Fyller på 0x30 i Windows11InstallationAssistant.exe
En sådan hög grad av komprimering uppnås genom att fylla det mesta av binären med lätt komprimerbara byte 0x30. Denna utfyllnad gör källfilen tillräckligt stor för att analysverktygen inte kan bearbeta den. Som ett resultat kan skadlig programvara undvika upptäckt av antivirusprogram, vilket utsätter intet ont anande användare för risken.
När den körs startar den här filen en PowerShell-process med det kodade argumentet, vilket startar cmd.exe-processen med en fördröjning på 21 sekunder. Efter 21 sekunder begär den ursprungliga processen win11.jpg från fjärrservern, som egentligen inte är en JPEG-bild, utan en DLL vars innehåll sparas i omvänd ordning.
Utökad DLL-fil när den visas i en textredigerare
Den initiala processen ordnar sedan om innehållet i den resulterande filen och laddar den resulterande DLL-filen, som visar sig vara RedLine Stealer-nyttolasten. Detta program samlar in detaljerad information om systemet: användarnamn, datornamn, listor över installerad programvara och utrustning. Dessutom extraherar skadlig programvara lösenord som sparats i webbläsare, samt autofylldata, inklusive information från bankkort och kryptovalutaplånböcker.
Processkedja som leder till lanseringen av RedLine Stealer
Den här nya falska installationskampanjen för Windows 11 påminner om en annan kampanj som HP nyligen analyserade, där en angripare maskerade skadlig programvara som ett Discord-appinstallatör. Han registrerade domänen discordappp[.]com genom samma leverantör, använde samma DNS-servrar och distribuerade skadlig programvara från samma familj som i fallet med installationsprogrammet för Windows 11.
Nyhetsöversättning: HP varnar för knepig RedLine Stealer Malware som maskerar sig som Windows 11-installatörer
bbabo.Net