Seyyid
Seyyid
خواندن ۳ دقیقه·۳ سال پیش

بدافزاری به شکل ابزار آپگرید ویندوز 11

هکرها با استفاده از یک برنامه جعلی آپگرید ویندوز 11 که آلوده به بدافزار بوده، کاربران رو فریب دادن و داده های مرورگر و کیف پول ارزهای دیجیتالشیون رو به سرقت بردن.

مایکروسافت یه ابزار آپگرید برای کاربراش ارائه داده تا با این ابزار سیستمشون رو چک کنن ، ببینن امکان نصب ویندوز 11 براشون فراهمه یا نه. یکی از الزامات پشتیبانی سیستم از Trusted Platform Module (TPM) version 2.0 هستش.

هکرها با قرار دادن آدرس سایت جعلی در نتایج جستجو و کاربرانی که بدون تحقیق و بررسی از سایتهای معتبر ، اقدام به نصب ویندوز 11 میکنند را هدف قرار دادن.

سایت جعلی دارای شمایی مانند سایت مایکروسافته:

 windows11-upgrade11[.]com سایت جعلی با آدرس
windows11-upgrade11[.]com سایت جعلی با آدرس

کاربران با مراجعه به این سایت و کلیک روی Download Now یک فایل ISO دریافت میکنند که حاوی بدافزاره. فرایند دانلود در صورتیکه از VPN یا TOR استفاده شده باشه، اجرا نمیشه.

فرآیند آلودگی :

به گفته CloudSEK، بازیگران تهدید در پشت این کمپین از بدافزار جدیدی استفاده می کنند که محققان به دلیل استفاده از نصب کننده Inno Setup Windows اونو "Inno Stealer" نامیدند.

محققا گفتن که هیچ شباهت کدی با سایر نمونه برنامه های دزدی اطلاعات که در حال حاضر استفاده میشه ، پیدا نکردن و شواهدی مبنی بر آپلود بدافزار در پلت فرم اسکن ویروس توتال هم پیدا نشده .

در مرحله اول ، فایل لودر که با زبان دلفی نوشته شده با نام Windows 11 setup در داخل ISO هستش که با اجرای اون یک فایل موقت با نام is-PN131.tmp و یک فایل .TMP دیگه ایجاد میکنه که لودر 3,078 کیلوبایت داده توش مینویسه.

لودر همچنین با استفاده از CreateProcess پروسس های جدیدی رو ایجاد میکنه که برای پرسیست ، ایجاد پروسس های جدید و استخراج 4 فایل دیگه کمک میکنه.

فرآیند پرسیست با استفاده از اضافه کردن فایل شورتکات .LNK به فولدر Startup و تعیین مجوزهای دسترسی با استفاده از icacls.exe انجام میشه.

دو فایل از چهار فایل استخراج شده عبارتند از Windows Command Scripts برای غیرفعال کردن امنیت رجیستری، اضافه کردن استثنائات به Defender، حذف محصولات امنیتی و حذف shadow volume.

به گفته محققان، این بدافزار محصولات امنیتی Emsisoft و ESET را حذف می‌کنه، احتمالاً به این دلیل که این محصولات اونو مخرب شناسایی میکنن.

فایل سوم یک ابزار اجرای دستور که با بالاترین امتیازات سیستم اجرا میشه. و چهارمین فایل، اسکریپت VBA برای اجرای dfl.cmd است.

در مرحله دوم آلودگی، فایلی با پسوند .SCR در مسیر زیر قرار میگیرد:

C:\Users\\AppData\Roaming\Windows11InstallationAssistant

این فایل جهت آنپک کردن و اجرای پیلود برنامه اصلی بکار میرود که با ایجاد پروسسی بنام Windows11InstallationAssistant.scr انجام میشه.

قابلیت های بدافزار

قابلیتهای بدافزار همانند بدافزارهای رده خودش هست مانند سرقت داده های مرورگرها ، سرقت کوکی ها ، سرقت اطلاعات کیف پول رمزهای دیجیتال و سرقت کلیپبورد و ...

مرورگرها و کیف پولهایی که در این کمپین هدف قرار گرفتن به شرح زیر هستند :

کیف پولهای هدف این کمپین
کیف پولهای هدف این کمپین

یکی از ویژگی های جالب Inno Stealer اینه که توابع مدیریت شبکه و سرقت داده multi-thread هستند.

تمام داده های دزدیده شده از طریق PowerShell در دایرکتوری موقت کاربر کپی و رمزگذاری میشن و بعداً به C&C ارسال میشن ("windows-server031.com")

فرایند ارتباط با سرور C2
فرایند ارتباط با سرور C2


همچنین بدافزار قابلیت دریافت و اجرای پیلودهای بیشتر رو هم داره که این فرآیند اغلب شب انجام میشه ، شاید به این دلیل که کاربر پشت سیستم نباشه.

این پیلودها که مبتنی بر دلفی هستند و بصورت فایل TXT ارسال میشن از همان مکانیسم لودر INNO استفاده میکنن.

راه حل امنیتی:

فرآیند ارتقای ویندوز 11 زمینه مناسبی را برای گسترش کمپین های بدافزاری ایجاد کرده است و این اولین بار نیست که چنین چیزی گزارش میشه.

توصیه شده از دانلود فایل‌های ISO از منابع مبهم خودداری کنید و فقط آپگیردهای اصلی سیستم‌عامل را از داخل کنترل پنل ویندوز 10 خود انجام دهید یا فایل‌های نصب را مستقیماً از منبع دریافت کنید.

اگر ارتقاء به ویندوز 11 در دسترس شما نیست، تلاش برای دور زدن محدودیت ها به صورت دستی فایده ای نداره، زیرا این کار با مجموعه ای از جنبه های منفی و خطرات امنیتی شدید همراه خواهد بود.

ما را دنبال کنید

دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز

بدافزارwindows11ویندوز۱۱سرقت اطلاعات
علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
شاید از این پست‌ها خوشتان بیاید