![[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)](https://blog.sosordi.net/wp-content/uploads/2023/03/cd-projekt-red_cyberpunk-2077_dlc-phantom-liberty-330x180.jpg?x58390 "[SGF23]Cyberpunk 2077 : plus de détails confirmés par CD Projekt RED, courant Juin 2023, pour Phantom Liberty ! (au détour d’un certain SGF…)")
![[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)](https://blog.sosordi.net/wp-content/uploads/2023/03/starfield_bethesda-softworks_02-330x180.jpg?x58390 "[SGF23]Xbox Games Showcase et Starfield Direct : deux showcases sur les dernières nouveautés de la division Xbox et Bethesda ! (show-chaud…)")
![[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/summer-game-fest-2023_vue-330x180.jpg?x58390 "[A venir !] Summer Game Fest(ival) 2023 : les annonces video-ludiques délivrées dès le 8 Juin 2023 ! (heure française…)")
![[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)](https://blog.sosordi.net/wp-content/uploads/2023/03/e3-2023_e3-330x180.jpg?x58390 "[E3 2023]”L’avenir de l’E3″ : clap de fin pour l’édition 2023 qui n’aura pas lieu… et pour le salon video-ludique ? (Ecouac…)")
![[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_mate-x3_02-330x180.jpg?x58390 "[MAJ 30 / 03]P60 Series, Mate X3, Enjoy 60, Watch Ultimate, Band B7, FreeBuds 5, FreeBuds Pro 2 Plus, MatePad 11, routeur Q6 Wi-fi 6 Plus, Qingyun S540 et G540… le récap’ des annonces printanières de Huawei, le 23 Mars 2023 !")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x58390 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !](https://blog.sosordi.net/wp-content/uploads/2023/03/samsung_galaxy-unpacked-2023_01-02-23_60-330x180.jpg?x58390 "[Rumeur]Galaxy S24 Ultra : le prochain terminal haut de gamme de Samsung sera dopé au Snapdragon 8 Gen3 !")
![[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/apple_wwdc-2023_05-06-23_01-330x180.jpg?x58390 "[A venir !]WWDC 2023 : les annonces d’Apple entre le 5 Juin et le 9 Juin 2023 !")
![[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)](https://blog.sosordi.net/wp-content/uploads/2023/03/nasa_csa_artemis-ii_01-330x180.jpg?x58390 "[A venir !]Lune : les annonces et actualisations du programme Artemis II de la NASA ! (prochaine étape, les êtres humains…)")
36.png){kind=small}
Tags populaires
0
Dans un billet du 19 Avril 2022, les chercheurs de l’équipe CloudSek (TRIAD) alertent : un extracteur de données (ou Stealer) sévit actuellement sur l’Internet. Par l’entremise de InnoSetup, qui constitue l’un des maillons de cette chaîne avancée, le contenu du porte-feuille (wallet) en crypto-monnaie est ainsi aspiré par une charge virale… déguisée en mise à jour Windows 11 !
S’agissant ainsi, plus spécifiquement (encore), d’un crypto-stealer, la viralité débute sur un nom de domaine malicieux (windows11 upgrade11 [.] com) : une fois le lien de téléchargement initialisé du côté du système de la victime (qui aura, donc, cliqué sur “télécharger maintenant“), le fichier exe (windows11 setup) recèlera, en réalité, l’installeur InnoSetup ; lui-même intégrant tout un tas d’outils pour préparer le système à l’extraction de données depuis les crypto-wallets et les navigateurs Web. Il est précisé que la charge virale (un fichier ISO) n’est pas bloqué “si l’utilisateur n’utilise pas le navigateur TOR ou un VPN”. Condensé des étapes d’infection :
- Stage premier : installation du fichier ISO (Windows11setup). Ecrit en Delphi, InnoSetup (v6.1.0) permettra d’amorcer la création d’un fichier TMP (pn131) depuis le local (temp) pour créer windows1setup (toujours en temp, donc). Une fois cette étape réalisée, le loader ira inscrire des données dans ce fichier (initialement vide) pour le charger à hauteur de 3 078 Ko. Un nouveau processus est, également, créée (CreateProcess) via une API dédiée qualifiée de “child installer” par les chercheurs : celle-ci permettra d’exécuter le malware avec, dans la foulée, la création d’un nouveau fichier TMP depuis la racine C:\ pour instiller diverses charges ou commandes (désactivation de la sécurité, exécution de WMIC, suppression des volumes masqués, ajouter des exceptions, élévation de privilèges via PowerRun et depuis Windows Defender…). Le code est offusqué mais peut être lu via un outil disponible depuis GitHub ;
- Stage second : chargement-distribution de la viralité. Un ensemble de fichiers découlant du premier stage et relatifs à InnoSetup est envoyé vers AppData\Roaming\Windows11InstallationAssistant sous la forme d’une extension (SCR – en VisualBasic) qui est traduit par Windows en tant qu’exécutable, est-il souligné par les chercheurs. Deux points de terminaison (104.21.28.14 + 172.67.170.39) sous PowerShell ont été, au moins, identifiés en tant que relais-communication vers des serveurs command-and-control. Cet ensemble ou pack de fichiers permet de créer un autre processus pour “exécuter la charge Delphi“. Cette charge virale permet une ex-filtration de données depuis le Bureau, les navigateurs Web (y compris les cookies, les données-utilisateurs, entre-autres) et depuis les porte-feuille numériques, en passant par les coffre-forts numériques ou emplacements secrets.
- Persistance, durabilité de la charge malveillante : en addition à l’ex-filtration, un raccourci-fichier est mis en place depuis le fichier de démarrage (racine). Ce fichier sera difficile à supprimer (et son icône dédiée) car il intégrer un programme (icacls.exe) permettant de modifier “les autorisations du fichier“. Le chemin-fichier de la seconde étape (extension SCR) est rallongé, ainsi, par ce nouveau programme (à la fin : Windows11InstallationAssistant.scr).
Pratiquement tout les navigateurs Web (hormis TOR, comme évoqué en début) sont concernés. Très peu de détails sur les cyber-attaquants si ce n’est qu’un fichier-texte (trouvé sous la racine seventyfor [.] site) permet de voir le nom du programme sous Delphi (sysctle.exe) sous lequel il est ensuite exécuté dans le système de la victime avec, en description-processus, “Minecraft Launcher” inscrit. Il s’agit vraisemblablement de la même viralité (en finalité et modus operandi) que windows1setup découlant de InnoSetup.
Encore plus insolite que la mention Minecraft, les chercheurs ont trouvé une mention à l’Université de Carnegie Melon (!) dans les copyright de la description-bug depuis le fichier binaire décompressé sous Delphi. Tout comme InnoSetup, syssctle.exe installera sa persistance depuis le démarrage via un raccourci-icône dédié et, ici, sous le chemin-fichier AppData\Roaming\World Crystal Disk8\diskinfo8.scr. Mise à part Eset (voire Emsissoft, suivant s’il s’agit de l’installeur Windows 11 ou de diskinfo8.scr) et tout comme avant, la plupart des anti-virus ne détecte pas la charge virale. Cette autre infiltration permet la création, dans son ensemble, d’un nouveau point de terminaison (185.215.113.73)… A veiller !
Source : CloudSek – 19 Avril 2022 – InnoSetup + sysctle : extracteurs de données (crypto-monnaie) + indicateurs de compromissions (IOCs) + rapport complet (PDF, lien en bas).
