Хакеры заманивают ничего не подозревающих пользователей поддельным обновлением Windows 11, которое поставляется с вредоносным ПО, похищающим данные браузера и криптовалютных кошельков. В настоящее время кампания активна и основана на отравлении результатов поиска, чтобы подтолкнуть веб-сайт, имитирующий рекламную страницу Microsoft для Windows 11, к предложению украсть информацию.
Inno Stealer
По данным CloudSEK, угрозы, стоящие за этой кампанией, используют новую вредоносную программу, которую исследователи назвали "Inno Stealer" из-за использования программы установки Inno Setup Windows.
Исследователи утверждают, что Inno Stealer не имеет сходства кода с другими распространенными в настоящее время программами для кражи информации, и они не нашли доказательств того, что вредоносная программа была загружена на платформу сканирования Virus Total.
Файл загрузчика (на базе Delphi) представляет собой исполняемый файл "Windows 11 setup", содержащийся в ISO, который при запуске сбрасывает временный файл с именем is-PN131.tmp и создает еще один файл .TMP, куда загрузчик записывает 3 078 КБ данных.
CloudSEK объясняет, что загрузчик порождает новый процесс, используя API Windows CreateProcess, который помогает порождать новые процессы, устанавливать постоянство и создавать четыре файла.
Постоянство достигается путем добавления файла .LNK (ярлыка) в каталог Startup и использования icacls.exe для установки разрешений доступа для скрытности.
Два из четырех удаленных файлов представляют собой командные сценарии Windows для отключения защиты реестра, добавления исключений Defender, деинсталляции продуктов безопасности и удаления теневого тома.
По словам исследователей, вредоносная программа также удаляет решения безопасности от Emsisoft и ESET, вероятно, потому что эти продукты определяют ее как вредоносную.
Третий файл представляет собой утилиту выполнения команд, которая запускается с наивысшими системными привилегиями, а четвертый - сценарий VBA, необходимый для запуска dfl.cmd.
На втором этапе заражения в каталог C:\Users\\\AppData\Roaming\Windows11InstallationAssistant скомпрометированной системы забрасывается файл с расширением .SCR.
Этот файл является агентом, который распаковывает полезную нагрузку информационного похитителя и выполняет ее, порождая новый процесс под названием "Windows11InstallationAssistant.scr", такой же, как и он сам.
Indicators of Compromise
Domains
- windows11-upgrade11.com
- windows-server031.com
MD5
- 3d969a67d2d063b9f8c9fa705bafc6f5
- 115faf1a44c446ef444de6be081219c7
- 6aee438d7e4bf6c6091fb2157c1565af
- 3fa6a3ca910907ef4ec531e7a1ee79fc
- a890cf24aa6db573cd84b5d44c1e96a7
SHA1
- 53ddc475d77f6da4e25716e1ca3de1389b83cd7e
- b5f7b54f97d9883eea5c74b4f47a7d797a3a360b
- 48e74f0aacf0038b04dab73efdd099ef3156ee9a
- 36d5be46249095af3cc587e38fb9c012d8aeb03e
- bf10bec1bd31c21180a9555578669c2fa3b047ab
SHA256
- 25cf143bdc630a6bb72874a1e040c908b82f640e10a5738bba24a9411017df24
- 6745fd72d88ffe3af619bdac594f9531e7da8952ac39401a5c15ba0fe3b146cb
- 7d90bea8966ec4b35877581de157bd81759f8acf4dee166adc411347a0ad673f
- 9c7e514a886150b2e878f08f5a267cbcd40d839454965030d2c5d482a4c32979
- ab4b385018bc846bdccc1b602feb883c2446e78b70e653bdd0d5a9c872afd064
Filename
- Windows11InstallationAssistant.scr
File Path
- C:\Users\\AppData\Roaming\Windows11InstallationAssistant