Rilevamento di Inno Stealer: Nuovo Infostealer Travestito da Aggiornamento OS
Indice:
Gli hacker hanno infiltrato i risultati di ricerca di Google, indirizzando il traffico verso un sito web falso che imita le pagine legittime di Microsoft con aggiornamenti del sistema operativo Windows. Per essere più precisi, gli avversari stanno utilizzando il dominio “windows11-upgrade11[.]com” per ospitare e diffondere malware di tipo infostealer travestiti da pacchetto di aggiornamenti di Windows 11.
Gli utenti ingannati scaricano falsi aggiornamenti, ottenendo in realtà un file ISO contenente l’eseguibile di una infostealer chiamato Inno Stealer.
Il requisito principale per diventare un “orgoglioso proprietario” di questa variante di malware è la capacità della loro macchina di eseguire TPM (sigla di Trusted Platform Module) versione 2.0.
Rileva il malware Inno Stealer
La regola basata su Sigma qui sotto consente una rilevazione rapida e facile del malware Inno Stealer nel tuo ambiente. La regola è stata sviluppata da un perspicace ingegnere della sicurezza Osman Demir:
La rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro e Securonix.
La regola è allineata all’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Evasione della Difesa con la Modifica dei Permessi di File e Directory (T1222) come tecnica principale.
Segui gli aggiornamenti del contenuto di rilevazione nel repository Threat Detection Marketplace della piattaforma SOC Prime per rimanere ben informato sulle minacce emergenti: il pulsante Visualizza Rilevazioni ti porterà alla vasta libreria di regole tradotte per oltre 25 soluzioni SIEM, EDR, XDR. Sia i cacciatori di minacce esperti che quelli aspiranti sono invitati a condividere il loro contenuto basato su Sigma unendosi al Threat Bounty Program di SOC Prime per una guida professionale e un reddito stabile.
Visualizza Rilevazioni Unisciti al Threat Bounty
Analisi di Inno Stealer
Inno Stealer è uno strumento di attacco multistadio scritto in Delphi che infetta le macchine delle vittime tramite una sofisticata catena di infezione. Il malware è trasportato da un dropper chiamato installazione di Windows 11 che gli utenti scaricano ingenuamente da un sito web di truffa creato per questa campagna, producendo un’imitazione fraudolenta dell’aggiornamento del sistema operativo Windows. Quando la vittima apre il file menzionato, esso distribuisce un file temporaneo (.tmp) sul disco infetto. Per mantenere la persistenza, il malware infostealer è programmato per abilitare il proprio avvio dopo un riavvio del sistema e configura i propri diritti di accesso per essere il più furtivo possibile. Il software crea quattro file utilizzando l’API CreateProcess di Windows. Due dei quattro file disattivano Windows Defender. Un altro file è uno strumento a riga di comando che dispone del massimo livello di permessi locali. Il quarto file contiene uno script che abilita il funzionamento di uno strumento a riga di comando. Il file impacchettato con estensione .scr viene poi scaricato nella directory C: alla fine della configurazione di Inno. Secondo i ricercatori, Windows tratta i file .scr come eseguibili, provocando lo scarico del payload.
Al termine dell’operazione di decompressone, PowerShell viene usato per trasferire i dati nella directory Temp dell’utente, che vengono quindi inviati al C2 dell’attaccante.
Gli operatori del malware Inno Stealer hanno utilizzato un legittimo programma di installazione Inno Setup per Windows – da qui il suo nome.
Secondo i ricercatori, il nuovo infostealer non mostra alcuna somiglianza con altri malware di questo tipo attualmente in circolazione.
Pronto a scoprire nuovi contenuti di rilevazione e portare le tue pratiche di caccia alle minacce a un livello completamente nuovo? Sfoglia una vasta libreria di contenuti di rilevazione e cerca istantaneamente le minacce più recenti nel tuo ambiente SIEM o XDR – registrati gratuitamente. Oppure unisciti al programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità della cybersecurity.
