Détection d’Inno Stealer : Nouveau voleur de données déguisé en mise à jour du système d’exploitation

Des hackers ont infiltré les résultats de recherche Google, redirigeant le trafic vers un faux site Web imitant les pages légitimes de Microsoft avec des mises à jour du système d’exploitation Windows. Pour être plus précis, les adversaires utilisent le domaine « windows11-upgrade11[.]com » pour héberger et propager un logiciel malveillant voleur d’informations déguisé en pack de mise à jour de Windows 11.

Les utilisateurs trompés téléchargent de fausses mises à jour, obtenant en réalité un fichier ISO contenant l’exécutable d’un voleur d’informations appelé Inno Stealer.

La principale exigence pour que les victimes deviennent un « propriétaire fier » de cette souche de malware est la capacité de leur machine à exécuter la version 2.0 du TPM (qui signifie Trusted Platform Module).

Détecter le malware Inno Stealer

La règle basée sur Sigma ci-dessous permet une détection rapide et facile du malware Inno Stealer dans votre environnement. La règle a été développée par un ingénieur en sécurité perspicace Osman Demir:

Evasion de défense suspecte de malware voleur d’informations en se déguisant en installateur de mise à niveau de Windows 11 (via process_creation)

La détection comporte des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro, et Securonix.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, adressant la tactique d’évasion de défense avec la modification des permissions de fichiers et de répertoires (T1222) comme technique principale.

Suivez les mises à jour du contenu de détection dans le dépôt du Threat Detection Marketplace de la plateforme SOC Prime pour rester bien informé des menaces émergentes – le bouton Voir les détections vous mènera à la vaste bibliothèque de règles traduites dans plus de 25 solutions SIEM, EDR, XDR. Les chasseurs de menaces expérimentés et débutants sont invités à partager leur contenu basé sur Sigma en rejoignant le programme Threat Bounty de SOC Prime pour un accompagnement professionnel et un revenu stable.

Voir les détections Rejoindre Threat Bounty

Analyse d’Inno Stealer

Inno Stealer est un outil d’attaque à plusieurs étapes écrit en Delphi qui infecte les machines des victimes au moyen d’une chaîne d’infection sophistiquée. Le malware est transporté par un dropper nommé Installation de Windows 11 que les utilisateurs téléchargent naïvement depuis un site d’escroquerie mis en place pour cette campagne, imitant de manière frauduleuse une mise à jour du système d’exploitation Windows. Lorsque la victime ouvre le fichier mentionné, il déploie un fichier temporaire (.tmp) sur le disque infecté. Pour maintenir la persistance, le logiciel malveillant voleur d’informations est programmé pour démarrer après un redémarrage du système et configure ses droits d’accès pour être aussi furtif que possible. Le logiciel crée quatre fichiers en utilisant l’API CreateProcess de Windows. Deux des quatre fichiers désactivent Windows Defender. Un autre fichier est un outil de commande qui a le niveau maximal de permissions locales. Le quatrième fichier contient un script qui permet le fonctionnement d’un outil de commande. Le fichier empaqueté avec l’extension .scr est ensuite déposé dans le répertoire C: à la fin de l’installation d’Inno. Selon les chercheurs, Windows traite les fichiers .scr comme des exécutables, provoquant le dépaquetage de la charge utile.

Une fois le dépaquetage terminé avec succès, PowerShell est utilisé pour transférer des données vers le répertoire Temp de l’utilisateur, qu’il envoie ensuite au C2 de l’attaquant.

Les opérateurs de malware Inno Stealer ont utilisé un installateur Windows Inno Setup légitime – d’où son surnom.

Selon les chercheurs, le nouveau voleur d’informations ne ressemble en rien aux autres malware de ce type actuellement en circulation.

Prêt à découvrir de nouveaux contenus de détection et à amener vos pratiques de chasse aux menaces à un tout nouveau niveau ? Parcourez une vaste bibliothèque de contenus de détection et chassez instantanément les dernières menaces dans votre environnement SIEM ou XDR – inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté de la cybersécurité.