Kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstva za distribuciju zlonamjernog softvera, a Inno Setup se pokazao kao preferirani alat za prijetnje koje žele zaobići sigurnosne mjere.
Ovaj legitimni Windows instalacijski okvir, prvobitno dizajniran za pojednostavljenje distribucije softvera, postao je sofisticirani mehanizam za isporuku kampanja zlonamjernog softvera za krađu informacija, ciljajući vjerodajnice pretraživača i novčanike kriptovaluta.
Zlonamjerna kampanja iskorištava Pascal skriptne mogućnosti Inno Setup-a kako bi kreirala naizgled legitimne instalere softvera koji skrivaju višefazne zlonamjerne pakete.
Ovi oružani instalatori prerušavaju se u legitimne aplikacije, istovremeno izvršavajući složene lance infekcije koji na kraju isporučuju RedLine Stealer, široko distribuirani zlonamjerni softver za krađu informacija poznat po prikupljanju osjetljivih podataka sa kompromitovanih sistema.
Nedavna analiza istraživača iz Splunk-a identifikovala je sofisticiran lanac napada koji koristi višestruke tehnike izbjegavanja kako bi izbjegao otkrivanje od strane sigurnosnih alata i sandbox okruženja.
Kampanja demonstrira naprednu trgovinsku praksu, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje upornosti i izbjegavanje otkrivanja tokom procesa infekcije.
Ovaj vektor napada predstavlja značajnu evoluciju u taktikama distribucije zlonamjernog softvera, jer kreatori prijetnji zloupotrebljavaju inherentno povjerenje koje korisnici imaju u instalere softvera.
Iskorištavanjem legitimnih okvira poput Inno Setup-a, napadači mogu distribuirati zlonamjerni softver putem različitih kanala, uključujući kampanje fišinga, kompromitovane repozitorijume softvera i zlonamjerne oglase, bez izazivanja trenutne sumnje kod korisnika ili sigurnosnih sistema.
Napredna strategija izbjegavanja zlonamjernog softvera započinje njegovom implementacijom u Pascal skriptu, koji koristi XOR enkripciju za prikrivanje kritičnih nizova znakova i naredbi.
Po izvršavanju, instalater vrši sveobuhvatnu analizu okruženja koristeći upite Windows Management Instrumentation (WMI), specifično izvršavajući `Select * From Win32_Process where Name=` kako bi identifikovao procese povezane sa alatima za analizu zlonamjernog softvera.
Ako se otkriju alati za analizu, instalater se odmah prekida kako bi se izbjeglo dalje ispitivanje.
Kampanja primjenjuje višestruke slojeve izbjegavanja sandboxa, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema.
Zlonamjerni softver provjerava specifične podnizove u nazivu instalacijske datoteke, kao što je “application_stable_release”, prije nego što nastavi sa isporukom paketa.
Dodatno, izvršava WMI upite poput `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` radi prikupljanja sistemskih informacija i identifikacije okruženja virtuelnih mašina koja se često koriste za analizu zlonamjernog softvera.
Radi postizanja upornosti, zlonamjerni softver kreira skrivene planirane zadatke koristeći komandu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`.
Paket se raspakuje u `%APPDATA%\Roaming\controlExplore\` i konfigurira se za automatsko izvršavanje pri ponovnom pokretanju sistema.
Lanac infekcije kulminira DLL side-loadingom, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava trojanizirani QtGuid4.dll, koji zatim dešifruje i izvršava HijackLoader komponentu koja na kraju isporučuje RedLine Stealer u kreirani MSBuild.exe proces, efikasno skrivajući zlonamjerni paket unutar legitimnog Windows alata za razvoj.
