HP'nin siber güvenlik blogu, virüsten koruma algılamasını atlatabilen Windows 11 yükleyicisi görünümündeki kötü amaçlı yazılımları dağıtmak için gelişmiş yeni bir yöntem ortaya koyuyor.
Microsoft, Windows 11'in uygun aygıtlara yaygın olarak dağıtılabileceği anlamına gelen, Windows 11'in son kullanılabilirlik aşamasına ulaştığını duyurmasından sadece bir gün sonra, HP, Moskova'yı gösteren kayıt bilgilerine sahip bir kuruluşun yeni bir windows-yükseltilmiş[.]com kaydettiğini keşfetti. alan adı.
Bu etki alanının adresi, Windows 11'i indirmeyi teklif eden gerçek bir Microsoft kaynağının görünümünü taklit eden bir siteydi. Yalnızca Şimdi İndir düğmesi, Discord içerik dağıtım ağında barındırılan Windows11InstallationAssistant.zip arşivinin indirilmesine yol açtı.
Bu şüpheli arşiv yalnızca 1,5 MB ağırlığındadır, ancak 751 MB'ı Windows11InstallationAssistant.exe yürütülebilir dosyası tarafından işgal edilen 753 MB'a sıkıştırılmıştır. Kalan iki megabayt, altı Windows kitaplığı ve bir XML dosyasıdır. 753MB'yi 1.5MB'a sığdırmak için, sıkıştırma oranının %99,8 olması gerekir ki bu, yürütülebilir ortalama %47'ye kıyasla çok fazla.
Windows11InstallationAssistant.exe'de 0x30'u doldurma
Böyle yüksek derecede bir sıkıştırma, ikili dosyaların çoğunu kolayca sıkıştırılabilir bayt 0x30 ile doldurarak elde edilir. Bu dolgu, kaynak dosyayı analiz araçlarının işleyemeyeceği kadar büyük yapar. Sonuç olarak, kötü amaçlı yazılım, virüsten koruma yazılımı tarafından algılanmayı engelleyebilir ve şüphelenmeyen kullanıcıları riske maruz bırakabilir.
Bu dosya yürütüldüğünde, 21 saniyelik bir gecikmeyle cmd.exe işlemini başlatan kodlanmış argümanla bir PowerShell işlemi başlatır. 21 saniye sonra, orijinal işlem uzak sunucudan win11.jpg'yi ister; bu gerçekten bir JPEG görüntüsü değil, içerikleri ters sırada kaydedilen bir DLL'dir.
Bir metin düzenleyicide görüntülendiğinde genişletilmiş DLL dosyası
İlk işlem daha sonra ortaya çıkan dosyanın içeriğini yeniden sıralar ve ortaya çıkan DLL'yi yükler, bu da RedLine Stealer yükü olarak ortaya çıkar. Bu program sistem hakkında ayrıntılı bilgi toplar: kullanıcı adları, bilgisayar adları, kurulu yazılım ve ekipman listeleri. Buna ek olarak, kötü amaçlı yazılım, tarayıcılarda kayıtlı şifrelerin yanı sıra banka kartlarından ve kripto para cüzdanlarından gelen bilgiler de dahil olmak üzere otomatik doldurma verilerini çıkarır.
RedLine Stealer'ın piyasaya sürülmesine yol açan süreç zinciri
Bu yeni Windows 11 sahte yükleyici kampanyası, HP'nin yakın zamanda analiz ettiği ve bir saldırganın bir Discord uygulama yükleyicisi olarak kötü amaçlı yazılımı gizlediği başka bir kampanyayı andırıyor. Aynı sağlayıcı aracılığıyla discordappp[.]com alan adını kaydettirdi, aynı DNS sunucularını kullandı ve Windows 11 yükleyicisinde olduğu gibi aynı aileden kötü amaçlı yazılım dağıttı.
Haber çevirisi: HP, Windows 11 Yükleyicileri Gibi Görünen Zor RedLine Stealer Kötü Amaçlı Yazılımlara Karşı Uyardı
bbabo.Net