Detecção do Inno Stealer: Novo Infostealer Disfarçado como Atualização de SO

[post-views]
Abril 21, 2022 · 4 min de leitura
Detecção do Inno Stealer: Novo Infostealer Disfarçado como Atualização de SO

Hackers infiltraram os resultados de pesquisa do Google, direcionando o tráfego para um site falso que imita páginas legítimas da Microsoft com atualizações do sistema operacional Windows. Para ser mais preciso, os adversários estão usando o domínio “windows11-upgrade11[.]com” para hospedar e disseminar malware ladrão de informações disfarçado como um pacote de atualizações do Windows 11.

Usuários enganados baixam atualizações falsas, mas na verdade adquirem um arquivo ISO contendo o executável de um ladrão de informações chamado Inno Stealer.

O principal requisito para que as vítimas se tornem uma “orgulhosa proprietária” dessa cepa de malware é a capacidade de sua máquina de executar a versão 2.0 do TPM (que significa Módulo de Plataforma Confiável).

Detectar Malware Inno Stealer

A regra baseada em Sigma abaixo permite uma detecção rápida e fácil do malware Inno Stealer em seu ambiente. A regra foi desenvolvida por um engenheiro de segurança perspicaz Osman Demir:

Evasão de defesa de malware suspeito que rouba informações disfarçado como instalador de atualização do Windows 11 (via process_creation)

A detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro, e Securonix.

A regra está alinhada com a mais recente framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Modificação de Permissões de Arquivo e Diretório (T1222) como técnica principal.

Acompanhe as atualizações do conteúdo de detecção no repositório Threat Detection Marketplace da plataforma SOC Prime para se manter bem-informado sobre ameaças emergentes – o botão Ver Detecções levará você para uma vasta biblioteca de regras traduzidas para mais de 25 soluções SIEM, EDR, XDR. Tanto caçadores de ameaças experientes quanto aspirantes são bem-vindos para compartilhar seu conteúdo baseado em Sigma ao se juntar ao Programa de Recompensas de Ameaças da SOC Prime para orientação profissional e renda estável.

Ver Detecções Junte-se ao Programa de Recompensas de Ameaças

Análise do Inno Stealer

Inno Stealer é uma ferramenta de ataque em várias etapas escrita em Delphi que infecta máquinas das vítimas por meio de uma cadeia de infecção sofisticada. O malware é transportado por um dropper chamado Configuração do Windows 11 que os usuários ingenuamente baixam de um site de golpe montado para esta campanha, oferecendo uma imitação fraudulenta de uma atualização do sistema operacional Windows. Quando a vítima abre o arquivo mencionado, ele implanta um arquivo temporário (.tmp) no disco infectado. Para manter a persistência, o malware ladrão de informações é programado para iniciar após a reinicialização do sistema e configura seus direitos de acesso para ser o mais furtivo possível. O software cria quatro arquivos usando a API CreateProcess do Windows. Dois dos quatro arquivos desativam o Windows Defender. Outro arquivo é uma ferramenta de comando que tem o máximo nível de permissões locais. O quarto arquivo contém um script que habilita o funcionamento de uma ferramenta de comando. O arquivo compactado com a extensão .scr é então despejado no diretório C: ao final do Inno Setup. De acordo com os pesquisadores, o Windows trata arquivos .scr como executáveis, fazendo com que a carga útil seja descompactada.

Após a conclusão bem-sucedida da descompactação, o PowerShell é usado para transferir dados para o diretório Temp do usuário, que então os envia para o C2 do atacante.

Os operadores do malware Inno Stealer utilizaram um instalador legítimo do Windows chamado Inno Setup – daí seu apelido.

De acordo com os pesquisadores, o novo ladrão de informações não tem semelhança com outros malwares desse tipo atualmente em circulação.

Pronto para descobrir novos conteúdos de detecção e levar suas práticas de caça a ameaças a um nível totalmente novo? Navegue por uma vasta biblioteca de conteúdos de detecção e cace instantaneamente as ameaças mais recentes em seu ambiente SIEM ou XDR – inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade de cibersegurança.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias