Kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstva za distribuciju zlonamjernog softvera, a Inno Setup se sve više nameće kao preferirani alat za one koji žele da zaobiđu sigurnosne mjere.
Ovaj legitimni Windows instalacijski okvir, izvorno osmišljen radi jednostavnijeg postavljanja softvera, postao je sofisticiran mehanizam za isporuku kampanja zlonamjernog softvera koje kradu informacije, ciljajući vjerodajnice preglednika i kripto-novčanike.
Zlonamjerna kampanja koristi Pascal skriptne mogućnosti Inno Setup-a za kreiranje prividno legitimnih instalatera softvera koji kriju višeslojne terete zlonamjernog softvera.
Ovi kompromitovani instalateri predstavljaju se kao legitimne aplikacije, istovremeno pokrećući složene lance zaraze koji na kraju isporučuju RedLine Stealer, široko rasprostranjeni zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka sa ugroženih sistema.
Nedavna analiza istraživača iz kompanije Splunk identificirala je sofisticirani lanac napada koji koristi višestruke tehnike izbjegavanja kako bi se izbjeglo otkrivanje od strane sigurnosnih alata i sandbox okruženja.
Kampanja pokazuje napredne tehnike, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje postojanosti i izbjegavanje otkrivanja tokom procesa zaraze.
Ovaj vektor napada predstavlja značajan napredak u taktici distribucije zlonamjernog softvera, budući da napadači zloupotrebljavaju inherentno povjerenje koje korisnici polažu u instalere softvera.
Iskorištavanjem legitimnih okvira poput Inno Setup-a, napadači mogu distribuirati zlonamjerni softver putem raznih kanala, uključujući phishing kampanje, ugrožena spremišta softvera i zlonamjerne oglase, bez izazivanja neposredne sumnje kod korisnika ili sigurnosnih sistema.
Napredni mehanizmi izbjegavanja i postojanosti
Sofisticirana strategija izbjegavanja zlonamjernog softvera počinje njegovom implementacijom u Pascal skriptu, koja koristi XOR enkripciju za sakrivanje ključnih nizova znakova i naredbi.
Nakon izvršavanja, instalater provodi sveobuhvatnu analizu okruženja koristeći upite Windows Management Instrumentation (WMI), specifično izvršavajući `Select * From Win32_Process where Name=` kako bi identificirao procese povezane s alatima za analizu zlonamjernog softvera.
Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo daljnje istraživanje.
Kampanja koristi višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema.
Zlonamjerni softver provjerava specifične podnizove u nazivu instalatera, kao što je “application_stable_release”, prije nastavka isporuke tereta.
Dodatno, izvršava WMI upite poput `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` kako bi prikupio informacije o sistemu i identificirao okruženja virtualnih mašina koja se često koriste za analizu zlonamjernog softvera.
Za postojanost, zlonamjerni softver kreira skrivene zakazane zadatke koristeći naredbu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`.
Teret se ekstrahuje u `%APPDATA%\Roaming\controlExplore\` i konfigurira se da se automatski izvršava nakon ponovnog pokretanja sistema.
Lanac zaraze kulminira DLL bočnim učitavanjem (DLL side-loading), gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava kompromitirani QtGuid4.dll, koji zatim dešifruje i izvršava HijackLoader komponentu, koja konačno isporučuje RedLine Stealer u pokrenuti MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog Windows alata za razvoj.
Savjetodavna analiza objavljena je na službenom blogu kompanije Splunk, kao i putem platformi poput X (ranije Twitter), pružajući detaljan uvid u sofisticirane metode koje koriste sajberkriminalci. Upozorenje naglašava kako napadači iskorištavaju povjerenje koje korisnici imaju u procese instalacije softvera, koristeći legitiman alat poput Inno Setup-a kako bi prikrili isporuku zlonamjernog softvera. Metodologija napada uključuje kreiranje lažnih instalera koji izgledaju kao legitimni softver, ali u sebi kriju višeslojne elemente zlonamjernog koda. Kriminalci mame žrtve tako što ih navode da preuzmu i pokrenu ove obmanjujuće instalere, često putem phishing e-poruka, kompromitovanih web stranica ili zlonamjernih oglasa. Specifični primjer izvedbe napada uključuje korištenje Inno Setup skripti obogaćenih s XOR enkripcijom i naprednim tehnikama izbjegavanja sandboxa, kao što su provjere specifičnih procesa ili naziva datoteka, kako bi se spriječilo otkrivanje. Nakon inicijalnog izvršavanja, instalater provjerava prisustvo alata za analizu i ako ih pronađe, odmah se gasi. Za postojanost, kreiraju se skriveni zakazani zadaci koji osiguravaju automatsko izvršavanje zlonamjernog softvera nakon ponovnog pokretanja sistema. Lanac zaraze kulminira DLL bočnim učitavanjem, gdje se legitimni Windows proces iskorištava za učitavanje i izvršavanje šifriranog zlonamjernog koda, na kraju instalirajući RedLine Stealer, alat za krađu osjetljivih podataka.
