Actualités

Windows 11 : quand une fausse mise à jour permet une ex-filtration de crypto-monnaie !

Dans un billet du 19 Avril 2022, les chercheurs de l’équipe CloudSek (TRIAD) alertent : un extracteur de données (ou Stealer) sévit actuellement sur l’Internet. Par l’entremise de InnoSetup, qui constitue l’un des maillons de cette chaîne avancée, le contenu du porte-feuille (wallet) en crypto-monnaie est ainsi aspiré par une charge virale… déguisée en mise à jour Windows 11 !

 

 

S’agissant ainsi, plus spécifiquement (encore), d’un crypto-stealer, la viralité débute sur un nom de domaine malicieux (windows11 upgrade11 [.] com) : une fois le lien de téléchargement initialisé du côté du système de la victime (qui aura, donc, cliqué sur “télécharger maintenant“), le fichier exe (windows11 setup) recèlera, en réalité, l’installeur InnoSetup ; lui-même intégrant tout un tas d’outils pour préparer le système à l’extraction de données depuis les crypto-wallets et les navigateurs Web. Il est précisé que la charge virale (un fichier ISO) n’est pas bloqué “si l’utilisateur n’utilise pas le navigateur TOR ou un VPN”. Condensé des étapes d’infection :

 

  • Stage premier : installation du fichier ISO (Windows11setup). Ecrit en Delphi, InnoSetup (v6.1.0) permettra d’amorcer la création d’un fichier TMP (pn131) depuis le local (temp) pour créer windows1setup (toujours en temp, donc). Une fois cette étape réalisée, le loader ira inscrire des données dans ce fichier (initialement vide) pour le charger à hauteur de 3 078 Ko. Un nouveau processus est, également, créée (CreateProcess) via une API dédiée qualifiée de “child installer” par les chercheurs : celle-ci permettra d’exécuter le malware avec, dans la foulée, la création d’un nouveau fichier TMP depuis la racine C:\ pour instiller diverses charges ou commandes (désactivation de la sécurité, exécution de WMIC, suppression des volumes masqués, ajouter des exceptions, élévation de privilèges via PowerRun et depuis Windows Defender…). Le code est offusqué mais peut être lu via un outil disponible depuis GitHub ;

 

 

  • Stage second : chargement-distribution de la viralité. Un ensemble de fichiers découlant du premier stage et relatifs à InnoSetup est envoyé vers AppData\Roaming\Windows11InstallationAssistant sous la forme d’une extension (SCR – en VisualBasic) qui est traduit par Windows en tant qu’exécutable, est-il souligné par les chercheurs. Deux points de terminaison (104.21.28.14 + 172.67.170.39) sous PowerShell ont été, au moins, identifiés en tant que relais-communication vers des serveurs command-and-control. Cet ensemble ou pack de fichiers permet de créer un autre processus pour “exécuter la charge Delphi“. Cette charge virale permet une ex-filtration de données depuis le Bureau, les navigateurs Web (y compris les cookies, les données-utilisateurs, entre-autres) et depuis les porte-feuille numériques, en passant par les coffre-forts numériques ou emplacements secrets.

 

 

  • Persistance, durabilité de la charge malveillante : en addition à l’ex-filtration, un raccourci-fichier est mis en place depuis le fichier de démarrage (racine). Ce fichier sera difficile à supprimer (et son icône dédiée) car il intégrer un programme (icacls.exe) permettant de modifier “les autorisations du fichier“. Le chemin-fichier de la seconde étape (extension SCR) est rallongé, ainsi, par ce nouveau programme (à la fin : Windows11InstallationAssistant.scr).

 

 

Pratiquement tout les navigateurs Web (hormis TOR, comme évoqué en début) sont concernés. Très peu de détails sur les cyber-attaquants si ce n’est qu’un fichier-texte (trouvé sous la racine seventyfor [.] site) permet de voir le nom du programme sous Delphi (sysctle.exe) sous lequel il est ensuite exécuté dans le système de la victime avec, en description-processus, “Minecraft Launcher” inscrit. Il s’agit vraisemblablement de la même viralité (en finalité et modus operandi) que windows1setup découlant de InnoSetup.

 

Encore plus insolite que la mention Minecraft, les chercheurs ont trouvé une mention à l’Université de Carnegie Melon (!) dans les copyright de la description-bug depuis le fichier binaire décompressé sous Delphi. Tout comme InnoSetup, syssctle.exe installera sa persistance depuis le démarrage via un raccourci-icône dédié et, ici, sous le chemin-fichier AppData\Roaming\World Crystal Disk8\diskinfo8.scr. Mise à part Eset (voire Emsissoft, suivant s’il s’agit de l’installeur Windows 11 ou de diskinfo8.scr) et tout comme avant, la plupart des anti-virus ne détecte pas la charge virale. Cette autre infiltration permet la création, dans son ensemble, d’un nouveau point de terminaison (185.215.113.73)… A veiller !

 

 

 

Source : CloudSek – 19 Avril 2022 – InnoSetup + sysctle : extracteurs de données (crypto-monnaie) + indicateurs de compromissions (IOCs) + rapport complet (PDF, lien en bas).




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6