Sajber kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstvo za širenje malicioznog softvera, a Inno Setup se pokazao kao omiljeni alat za hakerai koji žele zaobići sigurnosne mehanizme. Ovaj legitimni okvir za instalaciju na Windows platformi, izvorno dizajniran za pojednostavljenje raspoređivanja softvera, postao je sofisticirani mehanizam za dostavu kampanja malicoznog softvera koje ciljaju na krađu kredencijala pretreživać i kripto novčanika.
Maliciozna kampanja koristi mogućnosti skriptiranja u Pascalu unutar Inno Setup-a za kreiranje naizgled legitimnih instalatera softvera koji prikrivaju višeslojne terete malicioznog softvera. Ovi kompromitovani instalateri predstavljaju se kao legitimne aplikacije, istovremeno pokrećući složene lance infekcije koji na kraju isporučuju RedLine Stealer, široko rasprostranjeni zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka s ugroženih sistema.
Nedavna analiza istraživača iz Splunk-a otkrila je sofisticiran lanac napada koji koristi višestruke tehnike izbjegavanja kako bi izbjegao otkrivanje od strane sigurnosnih alata i sandbox okruženja. Kampanja pokazuje napredne tehnike, uključujući XOR enkripciju, mjere protiv analize i korištenje legitimnih sistemskih alata za održavanje postojanosti i izbjegavanje otkrivanja tokom procesa infekcije. Ovaj vektor napada predstavlja značajnu evoluciju u taktikama distribucije malicioznog softvera, jer hakeri zloupotrebljavaju inherentno povjerenje koje korisnici polažu u instalatore softvera. Korištenjem legitimnih okvira poput Inno Setup-a, napadači mogu distribuirati zlonamjerni softver putem raznih kanala, uključujući phishing kampanje, kompromitovane spremišta softvera i zlonamjerne reklame, bez izazivanja trenutne sumnje kod korisnika ili sigurnosnih sistema.
Sofisticirana strategija izbjegavanja malicioznog softvera počinje implementacijom Pascal skripte, koja koristi XOR enkripciju za obskuriranje kritičnih nizova znakova i naredbi. Nakon izvršavanja, instalater provodi sveobuhvatnu analizu okruženja koristeći WMI (Windows Management Instrumentation) upite, specifično izvršavajući `Select * From Win32_Process where Name=` za identifikaciju procesa povezanih s alatima za analizu zlonamjernog softvera. Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo daljnje istraživanje.
Kampanja primjenjuje višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema. Maliciozni softver provjerava prisustvo specifičnih podnizova u nazivu instalatera, kao što je “application_stable_release”, prije nastavka isporuke tereta. Dodatno, izvršava WMI upite poput `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` za prikupljanje sistemskih informacija i identifikaciju okruženja virtualnih mašina koja se često koriste za analizu malicioznog softvera.
Za postojanost, maliciozni softver kreira skrivene zakazane zadatke koristeći naredbu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`. Teret se raspakuje u `%APPDATA%\Roaming\controlExplore\` i konfigurira se za automatsko izvršavanje pri ponovnom pokretanju sistema. Lanac infekcije kulminira DLL bočnim učitavanjem, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizirani QtGuid4.dll, koji zatim dešifruje i izvršava komponentu HijackLoader, što na kraju isporučuje RedLine Stealer u kreirani MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog alata za razvoj na Windows platformi.
