У блозі компанії HP, присвяченому питанням кібербезпеки, з'явилася інформація про новий витончений метод поширення шкідливого програмного забезпечення під виглядом інсталятора Windows 11, здатного вислизати від виявлення антивірусними засобами.
Всього через день після оголошення Microsoft про досягнення Windows 11 завершальної фази доступності, що передбачає можливість широкого розгортання на відповідних пристроях, в HP виявили, що певний суб'єкт, реєстраційна інформація якого вказує на Москву, зареєстрував новий домен windows-upgraded.
За адресою цього домену знаходився сайт, що імітує вигляд реального ресурсу Microsoft, що пропонує завантажити Windows 11. Ось тільки кнопка Download Now вела до завантаження архіву Windows11InstallationAssistant.zip, розміщеного в мережі доставки вмісту Discord.
Цей підозрілий архів важить всього 1.5МБ, але розпаковується при цьому в 753МБ, 751МБ з яких займає файл Windows11InstallationAssistant.exe. Два мегабайти, що залишилися, складають шість бібліотек Windows і один XML-файл. Щоб упакувати 753МБ в 1.5МБ, ступінь стиснення повинна становити 99.8%, що дуже багато в порівнянні з середнім показником для файлів, що виконуються, рівним 47%.
Заповнення 0x30 у файлі Windows11InstallationAssistant.exe
Такий високий ступінь стиснення досягається за рахунок заповнення більшої частини бінарника байтами, що легко стискаються 0x30. Це заповнення робить вихідний файл досить великим, щоб не могли обробити інструменти аналізу. В результаті шкідливість може уникати виявлення антивірусним ПЗ, наражаючи на користувачів, що нічого не підозрюють.
Цей файл запускає процес PowerShell із закодованим аргументом, який стартує процес cmd.exe із затримкою в 21 секунду. Після 21 секунди вихідний процес запитує з віддаленого сервера файл win11.jpg, який насправді не є зображенням JPEG, а DLL-бібліотекою, чий вміст збережено в зворотному порядку.
Розгорнутий DLL-файл під час перегляду текстового редактора
Потім початковий процес відновлює порядок вмісту отриманого файлу і завантажує отриману DLL, яка є корисним навантаженням RedLine Stealer. Ця програма збирає докладну інформацію про систему: імена користувачів, комп'ютерів, списки встановленого програмного забезпечення та обладнання. Крім цього, шкідливість виціджує збережені в браузерах паролі, а також дані для автозаповнення, що включають інформацію банківських карток та криптовалютних гаманців.
Ланцюжок процесів, що веде до запуску RedLine Stealer
Ця нова кампанія з фальшивим інсталятором Windows 11 нагадує іншу нещодавно проаналізовану HP кампанію, в якій зловмисник маскував шкідливість під інсталятор програми Discord. Він зареєстрував домен discordappp[.]com через того ж провайдера, використовував ті ж DNS-сервери і поширював малвар з тієї самої родини, що і у випадку з інсталятором Windows 11.
Переклад новини: HP Warns Of Tricky RedLine Stealer Malware
bbabo.Net