Inno Stealer 検出: OSアップデートに偽装した新しい情報スティーラー

ハッカーがGoogleの検索結果に入り込み、Windows OSの更新を提供するMicrosoftの正当なページを模倣した偽のウェブサイトにトラフィックを誘導しています。具体的には、「windows11-upgrade11[.]com」というドメインを使用して、Windows 11更新パックに偽装された情報窃取型マルウェアをホストし、拡散しています。

トリックにかかったユーザーは、実際には「Inno Stealer」と呼ばれる情報盗用ツールの実行可能ファイルを含むISOファイルをダウンロードしてしまいます。

このマルウェアの亜種の「誇りある所有者」になるための主な要件は、被害者のマシンがTPM（トラステッド・プラットフォーム・モジュール）バージョン2.0を実行できることです。

Inno Stealerマルウェアの検出

以下のSigmaベースのルールは、環境内でInno Stealerマルウェアを迅速かつ容易に検出することを可能にします。このルールは、鋭敏なセキュリティエンジニアによって開発されました。 オスマン・デミール:

Windows 11アップグレードインストーラに偽装した情報窃取マルウェアによる防御回避の疑い（プロセス作成経由）

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、Carbon Black、ArcSight、QRadar、Devo、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Open Distro、SecuronixなどのSIEM、EDR、XDRプラットフォームに対応しています。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に合わせて調整されており、主なテクニックとしてファイルおよびディレクトリ権限の変更（T1222）に重点を置いて防御回避の戦術を取り扱っています。

SOC Prime PlatformのThreat Detection Marketplaceリポジトリで検出コンテンツの更新を確認し、最新の脅威情報を得るには、「View Detections」ボタンをクリックしてください。この広大なルールのライブラリには、25以上のSIEM、EDR、XDRソリューションに翻訳されたコンテンツがあります。経験豊富な脅威ハンターと志願者の両方が、SOC PrimeのThreat Bountyプログラムに参加して、プロの指導と安定した収入を得るためにSigmaベースのコンテンツを共有することを歓迎します。

検出を表示 脅威バウンティに参加

Inno Stealer分析

Inno Stealerは、Delphiで書かれた多段式攻撃ツールで、巧妙な感染チェーンを介して被害者のマシンを感染させます。このマルウェアは、「 Windows 11セットアップ という名前のドロッパーによって運ばれています。ユーザーはこのキャンペーンのために設定された詐欺サイトからイミテーションのWindows OS更新をダウンロードしてしまいます。被害者がこのファイルを開くと、感染したディスクに一時ファイル（.tmp）が展開されます。永続性を維持するため、情報盗用マルウェアはシステム再起動後に起動し、できるだけ目立たないようにアクセス権を設定するようプログラムされています。このソフトウェアは、CreateProcess Windows APIを使用して4つのファイルを作成します。そのうちの2つのファイルはWindows Defenderを無効にします。もう1つのファイルは、ローカル権限の最大レベルを持つコマンドツールです。4つ目のファイルはコマンドツールの機能を有効にするスクリプトが含まれています。拡張子.scrを持つ圧縮ファイルがInno Setupの最後にC:ディレクトリにダンプされます。研究者によれば、Windowsは.scrファイルを実行可能ファイルとして扱うため、ペイロードが解凍されます。

解凍が成功すると、PowerShellがデータをユーザーのTempディレクトリに転送し、それを攻撃者のC2に送信します。

Inno Stealerマルウェアのオペレーターは、正規のInno Setup Windowsインストーラを使用しました。そのため、このマルウェアの名前が付けられています。

研究者によると、 researchers新しい情報窃取ツールは他の 現在出回っているこの種の マルウェアとの類似点はほとんどありません。

新しい検出コンテンツを発見し、脅威ハンティングの実践をまったく新しいレベルに引き上げる準備はできましたか？SiEMやXDR環境で膨大な検出コンテンツライブラリをブラウズして最新の脅威を即座にハントしましょう。無料でサインアップ 無料でサインアップまたは Threat Bounty Programに参加 して、独自のコンテンツを作成し、サイバーセキュリティコミュニティと共有しましょう。