В блоге компании HP, посвященном вопросам кибербезопасноти, появилась информация о новом изощренном методе распространения вредоносного ПО под видом установщика Windows 11, способного ускользать от обнаружения антивирусными средствами.
Всего через день после объявления Microsoft о достижении Windows 11 заключительной фазы доступности, подразумевающей возможность обширного развертывания на подходящих устройствах, в HP обнаружили, что некий субъект, регистрационная информация которого указывает на Москву, зарегистрировал новый домен windows-upgraded[.]com
По адресу этого домена находился сайт, имитирующий облик реального ресурса Microsoft, предлагающего скачать Windows 11. Вот только кнопка
Download Now вела к скачиванию архива Windows11InstallationAssistant.zip, размещенного в сети доставки содержимого Discord.Этот подозрительный архив весит всего 1.5МБ, но распаковывается при этом в 753МБ, 751МБ из которых занимает исполняемый файл Windows11InstallationAssistant.exe. Оставшиеся два мегабайта составляют шесть библиотек Windows и один XML-файл. Чтобы упаковать 753МБ в 1.5МБ, степень сжатия должна составлять 99.8%, что очень много в сравнении со средним показателем для исполняемых файлов равным 47%.
Заполнение 0x30 в файле Windows11InstallationAssistant.exe
Столь высокая степень сжатия достигается за счет заполнения большей части бинарника легкосжимаемыми байтами
0x30. Это заполнение делает исходный файл достаточно большим, чтобы его не могли обработать инструменты анализа. В результате вредонос может избегать обнаружения антивирусным ПО, подвергая угрозе ничего не подозревающих пользователей.При выполнении этот файл запускает процесс PowerShell с закодированным аргументом, который стартует процесс cmd.exe с задержкой в 21 секунду. По прошествии 21 секунды исходный процесс запрашивает с удаленного сервера файл win11.jpg, который на деле является не изображением JPEG, а DLL-библиотекой, чье содержимое сохранено в обратном порядке.
Затем начальный процесс восстанавливает порядок содержимого полученного файла и загружает полученную DLL, которая оказывается полезной нагрузкой RedLine Stealer. Эта программа собирает подробную информацию о системе: имена пользователей, компьютеров, списки установленного ПО и оборудования. Помимо этого, вредонос выцеживает сохраненные в браузерах пароли, а также данные для автозаполнения, включающие информацию банковских карт и криптовалютных кошельков.
Эта новая кампания с подложным установщиком Windows 11 напоминает другую недавно проанализированную HP кампанию, в которой злоумышленник маскировал вредонос под установщик приложения Discord. Он зарегистрировал домен discordappp[.]com через того же провайдера, использовал те же DNS-сервера и распространял малварь из того же семейства, что и в случае с установщиком Windows 11.
Перевод новости: HP Warns Of Tricky RedLine Stealer Malware Masquerading As Windows 11 Installers
