Kibernetički kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao vozila za distribuciju zlonamjernog softvera, pri čemu se Inno Setup pokazuje kao preferirani alat za aktere prijetnji koji nastoje zaobići sigurnosne mjere.
Ovaj legitimni okvir za instalaciju na Windowsu, prvobitno osmišljen za pojednostavljenje distribucije softvera, postao je sofisticirani mehanizam isporuke za kampanje zlonamjernog softvera za krađu informacija, fokusirane na vjerodajnice preglednika i kriptovalute novčanike.
Zlonamjerna kampanja iskorištava Inno Setup-ove mogućnosti skriptiranja u Pascalu kako bi stvorila naizgled legitimne instalatore softvera koji prikrivaju višefazne terete zlonamjernog softvera.
Ovi naoružani instalatori pretvaraju se u legitimne aplikacije, dok istovremeno izvršavaju složene lance zaraze koji na kraju isporučuju RedLine Stealer, široko distribuirani zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka s kompromitovanih sistema.
Nedavna analiza istraživača kompanije Splunk identifikovala je sofisticirani lanac napada koji koristi višestruke tehnike izbjegavanja kako bi izbjegao otkrivanje sigurnosnih alata i okruženja u sandboxu.
Kampanja demonstrira napredne metode rada, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje upornosti i izbjegavanje otkrivanja tokom procesa infekcije.
Ovaj vektor napada predstavlja značajan evoluciju u taktici distribucije zlonamjernog softvera, jer akteri prijetnji zloupotrebljavaju inherentno povjerenje koje korisnici polažu u instalatore softvera.
Korištenjem legitimnih okvira poput Inno Setupa, napadači mogu distribuirati zlonamjerni softver putem raznih kanala, uključujući kampanje za pecanje (phishing), kompromitovane spremišta softvera i zlonamjerne oglase, bez izazivanja trenutne sumnje kod korisnika ili sigurnosnih sistema.
**Napredna Evasion i Mehanizmi Upornosti**
Sofisticirana strategija izbjegavanja zlonamjernog softvera započinje njegovom implementacijom u Pascal skriptu, koji koristi XOR enkripciju za zamagljivanje ključnih stringova i komandi.
Nakon izvršavanja, instalater provodi sveobuhvatnu analizu okruženja koristeći upite Windows Management Instrumentation (WMI), specifično izvršavajući `Select * From Win32_Process where Name=` za identifikaciju procesa povezanih s alatima za analizu zlonamjernog softvera.
Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo daljnje istraživanje.
Kampanja koristi višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca imena datoteka i profilisanje sistema.
Zlonamjerni softver provjerava specifične podnizove u imenu instalatera, poput “application_stable_release”, prije nego što nastavi s isporukom tereta.
Dodatno, izvršava WMI upite poput `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` za prikupljanje sistemskih informacija i identifikaciju okruženja virtualnih mašina koja se obično koriste za analizu zlonamjernog softvera.
Za upornost, zlonamjerni softver kreira skrivene zakazane zadatke koristeći komandu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`.
Teret se ekstrahuje u `%APPDATA%\Roaming\controlExplore\` i konfiguriše za automatsko izvršavanje nakon ponovnog pokretanja sistema.
Lanac infekcije kulminira DLL bočnim učitavanjem, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizirani QtGuid4.dll, koji zatim dekriptuje i izvršava HijackLoader komponentu koja na kraju isporučuje RedLine Stealer u kreirani MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog alata za razvoj u Windowsu.
Kibernetički kriminalci su sve više počeli koristiti legitimne okvire za instalaciju softvera kao sredstvo za distribuciju zlonamjernog softvera, a Inno Setup se pokazao kao preferirani alat za one koji žele zaobići sigurnosne mjere. Ovaj legitimni okvir za instalaciju na Windowsu, prvobitno kreiran da pojednostavi implementaciju softvera, pretvorio se u sofisticirani mehanizam za isporuku kampanja zlonamjernog softvera za krađu informacija, ciljajući podatke o vjerodajnicama preglednika i kriptovalute novčanike. Maliciozna kampanja koristi Pascal skriptne mogućnosti Inno Setupa za izradu naizgled legitimnih instalatera softvera koji prikrivaju višefazne terete zlonamjernog softvera. Ovi kompromitovani instalatori pretvaraju se u legitimne aplikacije, izvršavajući složene lance zaraze koji isporučuju RedLine Stealer, široko rasprostranjeni zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka s kompromitovanih sistema. Nedavna analiza stručnjaka iz Splunka otkrila je sofisticirani lanac napada koji koristi brojne tehnike izbjegavanja kako bi se izbjeglo otkrivanje od strane sigurnosnih alata i sandbox okruženja. Ova kampanja prikazuje napredne metode, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje postojanosti i izbjegavanje otkrivanja tokom cijelog procesa infekcije. Navedeni vektor napada predstavlja značajan napredak u taktikama distribucije zlonamjernog softvera, jer napadači zloupotrebljavaju povjerenje koje korisnici imaju u instalatore softvera. Korištenjem legitimnih okvira poput Inno Setupa, napadači mogu distribuirati zlonamjerni softver putem različitih kanala, uključujući phishing kampanje, ugrožena spremišta softvera i maliciozne reklame, bez izazivanja neposredne sumnje kod korisnika ili sigurnosnih sistema. Sofisticirana strategija izbjegavanja zlonamjernog softvera započinje njegovom implementacijom u Pascal skriptu, koji koristi XOR enkripciju za zamagljivanje ključnih nizova i komandi. Nakon izvršavanja, instalater provodi detaljnu analizu okruženja koristeći upite Windows Management Instrumentation (WMI), posebno izvršavajući upit `Select * From Win32_Process where Name=` za identifikaciju procesa povezanih s alatima za analizu zlonamjernog softvera. Ukoliko se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo daljnje istraživanje. Kampanja koristi višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema. Zlonamjerni softver provjerava specifične podnizove u nazivu instalatera, kao što je “application_stable_release”, prije nastavka isporuke tereta. Dodatno, izvršava WMI upite kao što su `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` kako bi prikupio sistemske informacije i identificirao okruženja virtualnih mašina koja se često koriste za analizu zlonamjernog softvera. Radi postojanosti, zlonamjerni softver kreira skrivene zakazane zadatke koristeći komandu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`. Teret se dešifruje u fasciklu `%APPDATA%\Roaming\controlExplore\` i konfiguriše za automatsko izvršavanje pri ponovnom pokretanju sistema. Lanac infekcije kulminira DLL bočnim učitavanjem, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizirani QtGuid4.dll, koji potom dešifruje i izvršava HijackLoader komponentu, koja konačno isporučuje RedLine Stealer u kreirani MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog alata za razvoj u sustavu Windows.
