Sajber kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstvo za širenje malicioznog softvera, a Inno Setup se pokazao kao omiljeni alat za hakere koji žele zaobići bezbjednosne mehanizme. Ovaj legitimni okvir za instalaciju na Windows platformi, izvorno dizajniran za pojednostavljenje raspoređivanja softvera, postao je sofisticirani mehanizam za dostavu kampanja malicioznog softvera koje ciljaju na krađu kredencijala pretreživača i kripto novčanika.
Maliciozna kampanja koristi mogućnosti skriptiranja u Pascalu unutar Inno Setup-a za kreiranje naizgled legitimnih instalatera softvera koji prikrivaju višeslojne terete malicioznog softvera. Ovi kompromitovani instalateri predstavljaju se kao legitimne aplikacije, istovremeno pokrećući složene lance infekcije koji na kraju isporučuju RedLine Stealer, široko rasprostranjeni maliciozni softver za krađu informacija poznat po prikupljanju osjetljivih podataka s ugroženih sistema.
Nedavna analiza istraživača iz Splunk-a otkrila je sofisticiran lanac napada koji koristi višestruke tehnike izbjegavanja kako bi izbjegao otkrivanje od strane bezbjednosnih alata i sandbox okruženja. Kampanja pokazuje napredne tehnike, uključujući XOR enkripciju, mjere protiv analize i korištenje legitimnih sistemskih alata za održavanje postojanosti i izbjegavanje otkrivanja tokom procesa infekcije. Ovaj vektor napada predstavlja značajnu evoluciju u taktikama distribucije malicioznog softvera, jer hakeri zloupotrebljavaju inherentno povjerenje koje korisnici polažu u instalatore softvera. Korištenjem legitimnih okvira poput Inno Setup-a, napadači mogu distribuirati maliciozni softver putem raznih kanala, uključujući phishing kampanje, kompromitovane spremišta softvera i maliciozne reklame, bez izazivanja trenutne sumnje kod korisnika ili bezbjednosnih sistema.
Sofisticirana strategija izbjegavanja malicioznog softvera počinje implementacijom Pascal skripte, koja koristi XOR enkripciju za obskuriranje kritičnih nizova znakova i naredbi. Nakon izvršavanja, instalater provodi sveobuhvatnu analizu okruženja koristeći WMI (Windows Management Instrumentation) upite, specifično izvršavajući Select * From Win32_Process where Name= za identifikaciju procesa povezanih s alatima za analizu malicioznog softvera. Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo dalje istraživanje.
Kampanja primjenjuje višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca naziva fajlova i profilisanje sistema. Maliciozni softver provjerava prisustvo specifičnih podnizova u nazivu instalatera, kao što je “application_stable_release”, prije nastavka isporuke tereta. Dodatno, izvršava WMI upite poput SELECT * FROM Win32_Processor i SELECT * FROM Win32_ComputerSystem za prikupljanje sistemskih informacija i identifikaciju okruženja virtuelnih mašina koja se često koriste za analizu malicioznog softvera.
Za postojanost, maliciozni softver kreira skrivene zakazane zadatke koristeći naredbu schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f. Teret se raspakuje u %APPDATA%\Roaming\controlExplore\ i konfiguriše se za automatsko izvršavanje pri ponovnom pokretanju sistema. Lanac infekcije kulminira DLL bočnim učitavanjem, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizirani QtGuid4.dll, koji zatim dešifruje i izvršava komponentu HijackLoader, što na kraju isporučuje RedLine Stealer u kreirani MSBuild.exe proces, efektivno skrivajući maliciozni teret unutar legitimnog alata za razvoj na Windows platformi.