Inno Stealer IOCs

Хакеры заманивают ничего не подозревающих пользователей поддельным обновлением Windows 11, которое поставляется с вредоносным ПО, похищающим данные браузера и криптовалютных кошельков. В настоящее время кампания активна и основана на отравлении результатов поиска, чтобы подтолкнуть веб-сайт, имитирующий рекламную страницу Microsoft для Windows 11, к предложению украсть информацию.

Inno Stealer

Inno Stealer

По данным CloudSEK, угрозы, стоящие за этой кампанией, используют новую вредоносную программу, которую исследователи назвали "Inno Stealer" из-за использования программы установки Inno Setup Windows.

Исследователи утверждают, что Inno Stealer не имеет сходства кода с другими распространенными в настоящее время программами для кражи информации, и они не нашли доказательств того, что вредоносная программа была загружена на платформу сканирования Virus Total.

Файл загрузчика (на базе Delphi) представляет собой исполняемый файл "Windows 11 setup", содержащийся в ISO, который при запуске сбрасывает временный файл с именем is-PN131.tmp и создает еще один файл .TMP, куда загрузчик записывает 3 078 КБ данных.

CloudSEK объясняет, что загрузчик порождает новый процесс, используя API Windows CreateProcess, который помогает порождать новые процессы, устанавливать постоянство и создавать четыре файла.

Постоянство достигается путем добавления файла .LNK (ярлыка) в каталог Startup и использования icacls.exe для установки разрешений доступа для скрытности.

Два из четырех удаленных файлов представляют собой командные сценарии Windows для отключения защиты реестра, добавления исключений Defender, деинсталляции продуктов безопасности и удаления теневого тома.

По словам исследователей, вредоносная программа также удаляет решения безопасности от Emsisoft и ESET, вероятно, потому что эти продукты определяют ее как вредоносную.

Третий файл представляет собой утилиту выполнения команд, которая запускается с наивысшими системными привилегиями, а четвертый - сценарий VBA, необходимый для запуска dfl.cmd.

На втором этапе заражения в каталог C:\Users\\\AppData\Roaming\Windows11InstallationAssistant скомпрометированной системы забрасывается файл с расширением .SCR.

Этот файл является агентом, который распаковывает полезную нагрузку информационного похитителя и выполняет ее, порождая новый процесс под названием "Windows11InstallationAssistant.scr", такой же, как и он сам.

Indicators of Compromise

Domains

  • windows11-upgrade11.com
  • windows-server031.com

MD5

  • 3d969a67d2d063b9f8c9fa705bafc6f5
  • 115faf1a44c446ef444de6be081219c7
  • 6aee438d7e4bf6c6091fb2157c1565af
  • 3fa6a3ca910907ef4ec531e7a1ee79fc
  • a890cf24aa6db573cd84b5d44c1e96a7

SHA1

  • 53ddc475d77f6da4e25716e1ca3de1389b83cd7e
  • b5f7b54f97d9883eea5c74b4f47a7d797a3a360b
  • 48e74f0aacf0038b04dab73efdd099ef3156ee9a
  • 36d5be46249095af3cc587e38fb9c012d8aeb03e
  • bf10bec1bd31c21180a9555578669c2fa3b047ab

SHA256

  • 25cf143bdc630a6bb72874a1e040c908b82f640e10a5738bba24a9411017df24
  • 6745fd72d88ffe3af619bdac594f9531e7da8952ac39401a5c15ba0fe3b146cb
  • 7d90bea8966ec4b35877581de157bd81759f8acf4dee166adc411347a0ad673f
  • 9c7e514a886150b2e878f08f5a267cbcd40d839454965030d2c5d482a4c32979
  • ab4b385018bc846bdccc1b602feb883c2446e78b70e653bdd0d5a9c872afd064

Filename

  • Windows11InstallationAssistant.scr

File Path

  • C:\Users\\AppData\Roaming\Windows11InstallationAssistant
Добавить комментарий