Kibernetički kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstvo za distribuciju zlonamjernog softvera, pri čemu se Inno Setup ističe kao preferirani alat za aktere prijetnji koji nastoje zaobići sigurnosne mjere.
Ovaj legitimni okvir za instalaciju na Windows, prvobitno dizajniran za pojednostavljenje uvođenja softvera, postao je sofisticirani mehanizam isporuke za kampanje zlonamjernog softvera za krađu informacija, koje ciljaju vjerodajnice preglednika i kriptovalutne novčanike.
Zlonamjerna kampanja iskorištava Pascal skriptiranje Inno Setup-a za kreiranje naizgled legitimnih instalatera softvera koji prikrivaju višefazne terete zlonamjernog softvera.
Ovi naoružani instalateri maskiraju se kao legitimne aplikacije, istovremeno izvršavajući složene lance infekcije koji na kraju isporučuju RedLine Stealer, široko distribuirani zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka s kompromitovanih sistema.
Nedavna analiza istraživača iz Splunk-a otkrila je sofisticirani lanac napada koji koristi više tehnika izbjegavanja kako bi se izbjeglo otkrivanje od strane sigurnosnih alata i sandbox okruženja.
Kampanja demonstrira napredne vještine, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje postojanosti i izbjegavanje otkrivanja tokom procesa infekcije.
Ovaj vektor napada predstavlja značajan evolucijski korak u taktici distribucije zlonamjernog softvera, budući da akteri prijetnji zloupotrebljavaju inherentno povjerenje koje korisnici polažu u instalatere softvera.
Korištenjem legitimnih okvira kao što je Inno Setup, napadači mogu distribuirati zlonamjerni softver putem različitih kanala, uključujući kampanje krađe identiteta, kompromitovana spremišta softvera i zlonamjerne oglase, bez izazivanja trenutne sumnje kod korisnika ili sigurnosnih sistema.
Napredni mehanizmi izbjegavanja i postojanosti
Sofisticirana strategija izbjegavanja zlonamjernog softvera počinje njegovom implementacijom u Pascal skriptu, koji koristi XOR enkripciju za prikrivanje kritičnih nizova znakova i naredbi.
Po izvršavanju, instalater provodi sveobuhvatnu analizu okruženja koristeći upite Windows Management Instrumentation (WMI), posebno izvršavajući `Select * From Win32_Process where Name=` za identifikaciju procesa povezanih s alatima za analizu zlonamjernog softvera.
Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo dalje istraživanje.
Kampanja primjenjuje više slojeva izbjegavanja sandbox okruženja, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema.
Zlonamjerni softver provjerava specifične podnizove u nazivu instalatera, kao što je “application_stable_release”, prije nastavka isporuke tereta.
Dodatno, izvršava WMI upite kao što su `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` kako bi prikupio sistemske informacije i identificirao okruženja virtualnih mašina koja se obično koriste za analizu zlonamjernog softvera.
Za postojanost, zlonamjerni softver kreira skrivene zakazane zadatke koristeći komandu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`.
Teret se izdvaja u `%APPDATA%\Roaming\controlExplore\` i konfigurira da se automatski izvršava pri ponovnom pokretanju sistema.
Lanac infekcije kulminira DLL bočnim učitavanjem, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizovani QtGuid4.dll, koji zatim dekriptuje i izvršava komponentu HijackLoader koja na kraju isporučuje RedLine Stealer u pokrenuti MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog alata za razvoj Windowsa.
