Detección de Inno Stealer: Nuevo Infostealer Disfrazado de Actualización del SO

Los hackers han infiltrado los resultados de búsqueda de Google, dirigiendo el tráfico a un sitio web falso que imita páginas legítimas de Microsoft con actualizaciones del sistema operativo Windows. Para ser más precisos, los adversarios están utilizando el dominio “windows11-upgrade11[.]com” para alojar y distribuir un malware ladrón de información disfrazado como un paquete de actualizaciones de Windows 11.

Usuarios engañados descargan actualizaciones falsas, obteniendo en realidad un archivo ISO que contiene el ejecutable para un ladrón de información llamado Inno Stealer.

El requisito principal para que las víctimas se conviertan en “orgullosos propietarios” de esta cepa de malware es la capacidad de su máquina para ejecutar TPM (que significa Módulo de Plataforma de Confianza) versión 2.0.

Detectar el Malware Inno Stealer

La regla basada en Sigma a continuación permite una detección rápida y fácil del malware Inno Stealer dentro de su entorno. La regla fue desarrollada por un perspicaz ingeniero de seguridad Osman Demir:

Defensa Evasiva de Malware Ladrón de Información Sospechoso Disfrazado como Instalador de Actualización de Windows 11 (vía creación de proceso)

La detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro y Securonix.

La regla está alineada con el último marco ATT&CK® de MITRE v.10, abordando la táctica de Evasión de Defensa con Modificación de Permisos de Archivos y Directorios (T1222) como técnica principal.

Siga las actualizaciones del contenido de detección en el repositorio Threat Detection Marketplace de la plataforma SOC Prime para mantenerse bien informado sobre amenazas emergentes: el botón Ver Detecciones lo llevará a la vasta biblioteca de reglas traducidas a más de 25 soluciones SIEM, EDR, XDR. Tanto los cazadores de amenazas experimentados como los aspirantes son bienvenidos a compartir su contenido basado en Sigma uniéndose al Programa de Recompensas por Amenazas de SOC Prime para obtener orientación profesional e ingresos estables.

Ver Detecciones Unirse al Programa de Recompensas por Amenazas

Análisis de Inno Stealer

Inno Stealer es una herramienta de ataque de múltiples etapas escrita en Delphi que infecta las máquinas de las víctimas mediante una sofisticada cadena de infección. El malware es transportado por un archivo dropper llamado configuración de Windows 11 que los usuarios ingenuamente descargan de un sitio web fraudulento creado para esta campaña, simulando una actualización del sistema operativo Windows. Cuando la víctima abre el archivo mencionado, despliega un archivo temporal (.tmp) en el disco infectado. Para mantener la persistencia, el malware ladrón de información está programado para habilitar su inicio después de un reinicio del sistema y configura sus derechos de acceso para ser lo más sigiloso posible. El software crea cuatro archivos usando la API CreateProcess de Windows. Dos de los cuatro archivos matan Windows Defender. Otro archivo es una herramienta de comando que tiene el máximo nivel de permisos locales. El cuarto archivo contiene un script que habilita el funcionamiento de una herramienta de comando. El archivo empaquetado con la extensión .scr se vierte entonces en el directorio C: al final de la instalación de Inno. Según los investigadores, Windows trata los archivos .scr como ejecutables, provocando que la carga útil sea desempaquetada.

Al completar exitosamente el desempaquetado, PowerShell se utiliza para transferir datos al directorio temporal del usuario, que luego envía al C2 del atacante.

Los operadores del malware Inno Stealer utilizaron un instalador legítimo de Inno Setup para Windows, de ahí su apodo.

Según los investigadores, el nuevo ladrón de información no guarda semejanza alguna con otro malware de este tipo actualmente en circulación.

¿Listo para descubrir nuevo contenido de detección y llevar tus prácticas de caza de amenazas a un nivel completamente nuevo? Navega a través de una vasta biblioteca de contenido de detección y caza instantáneamente las últimas amenazas en tu entorno SIEM o XDR – regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de ciberseguridad.