Los ciberdelincuentes han recurrido cada vez más a los marcos de instalación de software legítimos como vehículos para la distribución de malware, con una configuración InNO emergiendo como una herramienta preferida para los actores de amenaza que buscan evitar medidas de seguridad.
Este marco legítimo del instalador de Windows, diseñado originalmente para simplificar la implementación de software, se ha convertido en un mecanismo de entrega sofisticado para campañas de malware que roban información que se dirigen a las credenciales del navegador y las billeteras de criptomonedas.
La campaña maliciosa explota las capacidades de secuencias de comandos Pascal de Inno Setup para crear instaladores de software aparentemente legítimos que ocultan las cargas útiles de malware de varias etapas.
Campaña de cargador inno-setup malicioso (fuente-Splunk)
Estos instaladores armados se disfrazan de aplicaciones legítimas al tiempo que ejecutan cadenas de infección complejas que finalmente implementan Redline Stealer, un malware de robo de información ampliamente distribuido conocido por la cosecha de datos confidenciales de sistemas comprometidos.
Análisis reciente de los investigadores de Splunk ha identificado Una cadena de ataque sofisticada que aprovecha múltiples técnicas de evasión para evitar la detección de herramientas de seguridad y entornos de sandbox.
La campaña demuestra la artesanía avanzada, empleando el cifrado XOR, las medidas anti-análisis y las herramientas de sistema legítimas para mantener la persistencia y evadir la detección durante todo el proceso de infección.
El vector de ataque representa una evolución significativa en las tácticas de distribución de malware, ya que los actores de amenazas abusan de los usuarios de confianza inherentes que ubican en los instaladores de software.
Al aprovechar marcos legítimos como Inno Setup, los atacantes pueden distribuir malware a través de varios canales, incluidas campañas de phishing, repositorios de software comprometidos y anuncios maliciosos sin desencadenar sospechas inmediatas de usuarios o sistemas de seguridad.
Mecanismos avanzados de evasión y persistencia
La sofisticada estrategia de evasión del malware comienza con su implementación de script Pascal, que utiliza el cifrado XOR para ofuscar cadenas y comandos críticos.
Tras la ejecución, el instalador realiza un análisis integral de entorno utilizando consultas de instrumentación de administración de Windows (WMI), ejecutando específicamente SELECT * de Win32_Process Where Name = para identificar procesos asociados con herramientas de análisis de malware.
Si se detectan herramientas de análisis, el instalador termina inmediatamente para evitar la investigación.
Rutina de descifrado de Hijackloader y FinalPayLoad (fuente – Splunk)
La campaña emplea múltiples capas de evasión de sandbox, incluida la coincidencia de patrones de nombre de archivo y el perfil del sistema.
El malware verifica las sustras específicas en el nombre de archivo del instalador, como “Application_Stable_Release”, antes de continuar con la entrega de carga útil.
Además, ejecuta consultas WMI como SELECT * de Win32_Processor y SELECT * de Win32_ComputerSystem para recopilar información del sistema e identificar entornos de máquinas virtuales comúnmente utilizadas para el análisis de malware.
Para persistencia, el malware crea tareas programadas ocultas utilizando el comando schtasks /create /xml %temp %\ lang whatsappsyncTaskmachineecore /f.
La carga útil se extrae a %AppData %\ Roaming \ Controlexplore \ y está configurada para ejecutar automáticamente al reinicio del sistema.
La cadena de infección culmina con la carga lateral de DLL, donde una aplicación legítima (ScoreFeedBackTool.exe) carga un QtGuid4.dll troyanizado, que luego descifra y ejecuta y ejecuta el componente de la cargadora de secuestro que finalmente implementa un robo de línea roja en una herramienta de desarrollo de Msbuild.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
