Inno Setup: новый вектор для незаметного распространения вредоносного ПО
Современные методы атак с применением легитимных инструментов установки программного обеспечения становятся все более изощренными. В недавнем отчёте исследовательская группа Splunk Threat раскрыла новую схему распространения вредоносного ПО через законные установщики Inno Setup, широко используемые в системах Windows.
Вредоносные установки на базе Inno Setup: суть угрозы
Киберпреступники незаконно присваивают официальный установщик Inno Setup, внедряя внутрь казалось бы безопасных установочных пакетов вредоносный код. Такой подход позволяет эффективно обходить как скептицизм пользователей, так и многие антивирусные решения.
- Вредоносные пакеты распространяются через фишинговые рассылки и скомпрометированные обновления программного обеспечения.
- Используются возможности встроенного в Inno Setup языка сценариев Pascal для загрузки и выполнения дополнительных зловредных компонентов.
- Основная конечная цель — внедрить шеллкод и активировать HijackLoader, загрузчик вредоносных программ с высоким уровнем скрытности.
Технологии уклонения и обфускации вредоносного установщика
Для сокрытия своей вредоносной активности злоумышленники применяют сразу несколько методов:
- Шифрование XOR для обфускации встроенных сценариев Pascal.
- Использование Windows Management Instrumentation (WMI) для проверки наличия средств безопасности на системе.
- Прекращение работы вредоносного сценария при обнаружении антивирусных инструментов или механизмов анализа.
- Защита от автоматизации, активируемая лишь при определённых условиях, что затрудняет динамический анализ.
После запуска вредоносный загрузчик выполняет контекстную проверку собственного имени файла, а затем устанавливает связь с сервером управления (C2) для загрузки дополнительных полезных нагрузок. Доступ к этим файлам защищён с помощью специальных заголовков аутентификации, что гарантирует только загрузчику получение нужного контента.
Распространение и механизм сохранения вредоносного ПО
Загруженные компоненты часто содержат скрипты, которые создают механизмы сохранения в системе — например, запланированные задачи, позволяющие запускать вредоносное ПО автоматически при каждой перезагрузке компьютера.
RedLine Stealer: финальный этап атаки
Центральным элементом данной кампании является RedLine Stealer — вредоносная программа, ориентированная на кражу конфиденциальных данных пользователя. Она собирает:
- учётные данные из браузера;
- файлы cookie;
- историю посещённых страниц;
- данные расширений криптовалютных кошельков.
RedLine Stealer использует сложные тактики уклонения, среди которых — «постоянное разворачивание» для сокрытия своей функциональности и манипуляция законными процессами операционной системы для повышения скрытности и эффективности.
Рекомендации для организаций
Учитывая сложность и многоуровневость данной угрозы, организациям рекомендуется внедрять надёжные механизмы обнаружения и мониторинга подозрительной активности. Особенно важно обращать внимание на следующие признаки возможной вредоносной активности:
- запуск браузеров с параметром
--no-sandbox; - работа браузеров без расширений;
- незаметное подключение к подозрительным C2-серверам;
- необычное поведение установочных пакетов Inno Setup.
Своевременное выявление этих индикаторов позволит значительно снизить риски компрометации и сократить ущерб от атак.
Безопасность в современном киберпространстве требует не только технических средств, но и глубокого понимания тактик и инструментов злоумышленников, поэтому подобные исследования играют ключевую роль в построении эффективной защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
