Inno Stealer Erkennung: Neuer Infostealer als OS-Update getarnt

Hacker haben sich in die Google-Suchergebnisse eingeschlichen, um den Verkehr auf eine gefälschte Website zu lenken, die legitime Microsoft-Seiten mit Windows-OS-Updates imitiert. Genauer gesagt nutzen Gegner die Domain “windows11-upgrade11[.]com”, um Informationsdiebstahl-Malware zu hosten und zu verbreiten, die als Windows 11-Update-Paket getarnt ist.

Getäuschte Nutzer laden gefälschte Updates herunter, erhalten in Wirklichkeit jedoch eine ISO-Datei, die die ausführbare Datei eines Informationsdiebstahls namens Inno Stealer enthält.

Die Hauptvoraussetzung dafür, dass Opfer ein „stolzer Besitzer“ dieser Malware-Variante werden, ist die Fähigkeit ihrer Maschine, TPM (steht für Trusted Platform Module) Version 2.0 auszuführen.

Inno Stealer Malware erkennen

Die unten stehende Sigma-basierte Regel ermöglicht eine schnelle und einfache Erkennung der Inno Stealer-Malware in Ihrer Umgebung. Die Regel wurde von einem scharfsinnigen Sicherheitsingenieur entwickelt Osman Demir:

Verdächtige Informationsdiebstahl-Malware, die Verteidigungsmaßnahmen durch Vortäuschung als Windows 11-Upgrade-Installer umgeht (via process_creation)

Die Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro und Securonix.

Die Regel ist auf das neueste MITRE ATT&CK®-Framework v.10 abgestimmt und befasst sich mit der Defense Evasion-Taktik unter Nutzung der Datei- und Verzeichniserlaubnisänderung (T1222) als primäre Technik.

Verfolgen Sie die Updates der Erkennungsinhalte im Threat Detection Marketplace-Repository der SOC Prime Platform, um gut über neue Bedrohungen informiert zu bleiben – der Button ‚Erkennungen anzeigen‘ führt Sie zu der umfangreichen Bibliothek von Regeln, die auf mehr als 25 SIEM-, EDR-, XDR-Lösungen übersetzt wurden. Sowohl erfahrene als auch angehende Bedrohungsjäger sind eingeladen, ihre Sigma-basierten Inhalte zu teilen, indem sie am Threat Bounty Program von SOC Prime teilnehmen, das professionelle Anleitung und ein stabiles Einkommen bietet.

Erkennungen anzeigen Threat Bounty beitreten

Inno Stealer Analyse

Inno Stealer ist ein mehrstufiges Angriffswerkzeug, das in Delphi geschrieben ist und die Maschinen der Opfer mittels einer ausgeklügelten Infektionskette infiziert. Die Malware wird von einem Dropper namens Windows 11-Setup getragen, den die Nutzer ahnungslos von einer für diese Kampagne eingerichteten Betrugswebsite herunterladen, die eine betrügerische Imitation eines Windows-OS-Updates vortäuscht. Beim Öffnen der genannten Datei durch das Opfer wird eine temporäre Datei (.tmp) auf der infizierten Festplatte abgelegt. Um die Persistenz zu wahren, ist die Informationsdiebstahl-Malware so programmiert, dass sie nach einem Systemneustart ihren Start ermöglicht und ihre Zugriffsrechte so unauffällig wie möglich konfiguriert. Die Software erzeugt vier Dateien unter Verwendung der CreateProcess Windows API. Zwei der vier Dateien deaktivieren Windows Defender. Eine weitere Datei ist ein Befehlswerkzeug, das das höchste lokale Berechtigungsniveau hat. Die vierte Datei enthält ein Skript, das die Funktion des Befehlswerkzeugs ermöglicht. Die gepackte Datei mit der .scr-Erweiterung wird dann am Ende des Inno-Setups in das C:-Verzeichnis abgelegt. Laut den Forschern behandelt Windows .scr-Dateien als ausführbare Dateien, was dazu führt, dass die Nutzlast entpackt wird.

Nach erfolgreichem Abschluss des Entpackens wird PowerShell verwendet, um Daten in das Temp-Verzeichnis des Benutzers zu übertragen, das es dann an das C2 des Angreifers sendet.

Die Betreiber der Inno Stealer-Malware nutzten einen legitimen Inno Setup Windows-Installer – daher sein Spitzname.

Laut den Forschernweist der neue Informationsdiebstahl keine Ähnlichkeit mit anderer Malware dieses Typs auf, die derzeit im Umlauf ist.

Bereit, neue Erkennungsinhalte zu entdecken und Ihre Bedrohungsjagd auf ein ganz neues Niveau zu heben? Stöbern Sie durch eine umfangreiche Bibliothek von Erkennungsinhalten und verfolgen Sie sofort die neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung – melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um Ihre eigenen Inhalte zu erstellen und sie mit der Cybersicherheits-Community zu teilen.