Angreifer tarnen RedLine Stealer als Windows 11-Upgrade

Bedrohungsakteure suchen immer nach aktuellen Ködern, um Opfer durch Social Engineering in infizierende Systeme zu locken. Wir haben kürzlich einen solchen Köder analysiert, nämlich einen gefälschten Windows 11-Installer. Am 27. Januar 2022, dem Tag nach der Ankündigung der letzten Phase des Windows 11-Upgrades, bemerkten wir, dass ein böswilliger Akteur die Domain registriert hatte Windows-aktualisiert[.]com, mit der sie Malware verbreiteten, indem sie Benutzer dazu verleiteten, ein gefälschtes Installationsprogramm herunterzuladen und auszuführen. Die Domain erregte unsere Aufmerksamkeit, weil sie neu registriert wurde, eine legitime Marke imitierte und von einer kürzlich erfolgten Ankündigung profitierte. Der Angreifer nutzte diese Domain, um RedLine Stealer zu verbreiten, eine Malware-Familie, die Informationen stiehlt und in Untergrundforen weithin zum Verkauf angeboten wird.

Domain Name: windows-upgraded.com
Creation Date: 2022-01-27T10:06:46Z
Registrar: NICENIC INTERNATIONAL GROUP CO., LIMITED
Registrant Organization: Ozil Verfig
Registrant State/Province: Moscow
Registrant Country: RU

Die Angreifer kopierten das Design der legitimen Windows 11-Website, außer dass durch Klicken auf die Schaltfläche „Jetzt herunterladen“ ein verdächtiges Zip-Archiv mit dem Namen heruntergeladen wurde Windows11Installationsassistent.zip. Die Datei wurde im Content Delivery Network von Discord gehostet.

Abbildung 1 – Gefälschte Windows 11-Website, die auf Windows-Upgrade gehostet wird[.]com.

Datenanalyse

Windows11Installationsassistent.zip ist nur 1,5 MB groß und enthält sechs Windows-DLLs, eine XML-Datei und eine portable ausführbare Datei.

Abbildung 2 – Inhalt des Zip-Archivs.

Nach dem Dekomprimieren des Archivs erhalten wir einen Ordner mit einer Gesamtgröße von 753 MB. Die ausführbare Datei Windows11Installationsassistent.exe war mit 751 MB die größte Datei.

Abbildung 3 – Dateigrößen nach der Dekomprimierung.

Da die komprimierte Größe der ZIP-Datei nur 1,5 MB betrug, bedeutet dies eine beeindruckende Komprimierungsrate von 99,8 %. Dies ist weitaus größer als die durchschnittliche ZIP-Komprimierungsrate für ausführbare Dateien von 47 %. Um ein so hohes Komprimierungsverhältnis zu erreichen, enthält die ausführbare Datei wahrscheinlich Polsterung, die extrem komprimierbar ist. In einem Hex-Editor ist diese Auffüllung leicht zu erkennen (Abbildung 4).

Abbildung 4 – 0x30-Füllbereich im Inneren Windows11Installationsassistent.exe.

Ein großer Teil der Datei wird mit 0x30 Bytes aufgefüllt und ist für die Ausführung der Datei irrelevant. Da viele Sandboxes und andere Malware-Analysetools sehr große Dateien nicht verarbeiten können, müssen wir die Datei entweder manuell analysieren oder auf eine angemessene Größe verkleinern. Der große Füllbereich befindet sich am Ende der Datei kurz vor der Dateisignatur. Aufgrund eines Digest-Mismatches führt die Signaturprüfung zu einem Fehler, weshalb wir dies nicht weiter in die Analyse aufgenommen haben. Durch Abschneiden des Füllbereichs sowie der Signatur erhalten wir eine gültige portable ausführbare Datei. Ein Grund, warum die Angreifer einen solchen Füllbereich eingefügt haben könnten, wodurch die Datei sehr groß wird, ist, dass Dateien dieser Größe möglicherweise nicht von Antiviren- und anderen Scan-Steuerelementen gescannt werden, wodurch die Wahrscheinlichkeit steigt, dass die Datei ungehindert ausgeführt und installiert werden kann die Malware. Abbildung 5 zeigt die Abschnitte der ausführbaren Datei nach dem Entfernen der Polsterung.

Abbildung 5 – Dateiabschnitte von Windows11Installationsassistent.exe (Polsterung entfernt) in PE-Bär betrachtet.

Dynamische Analyse

Wir können diese Datei nun dynamisch in einer Sandbox oder mit statischen Malware-Analyse-Tools analysieren. Unmittelbar nach der Ausführung startet die Malware einen PowerShell-Prozess mit einem verschlüsselten Argument. Dadurch wird ein cmd.exe-Prozess mit einem Timeout von 21 Sekunden gestartet. Sobald dieses Timeout abgelaufen ist, lädt der anfängliche Prozess eine Datei mit dem Namen herunter win11.jpg von einem entfernten Webserver (Abbildung 6).

Abbildung 6 – Prozessausführung, die zu RedLine Stealer führt.

Laufen die Filet Nutzen gegen win11.jpg kann seinen Dateityp nicht identifizieren, was darauf hindeutet, dass es codiert oder verschlüsselt ist. Das Öffnen der Datei in einem Texteditor zeigte jedoch, dass die Inhalte einfach in umgekehrter Reihenfolge gespeichert werden.

Abbildung 7 – Umgekehrte DLL-Datei, die in einem Texteditor angezeigt wird.

Sobald der Inhalt der Datei umgekehrt ist, erhalten wir eine DLL (Dynamic Link Library). Diese DLL wird vom ursprünglichen Prozess geladen, der sich selbst erneut ausführt und dann den aktuellen Threadkontext durch die heruntergeladene DLL ersetzt. Dies ist die Payload RedLine Stealer, ein klassischer Informationsdieb. Es sammelt verschiedene Informationen über die aktuelle Ausführungsumgebung, wie z. B. Benutzername, Computername, installierte Software und Hardwareinformationen. Die Malware stiehlt auch gespeicherte Passwörter von Webbrowsern, automatisch vervollständigte Daten wie Kreditkarteninformationen sowie Kryptowährungsdateien und Brieftaschen. Um Informationen herauszufiltern oder weitere Anweisungen zu erhalten, öffnet RedLine Stealer eine TCP-Verbindung zu einem konfigurierten Command-and-Control-Server (C2), in diesem Fall 45.146.166[.]38:2715.

Links zur RedLine-Stealer-Kampagne vom Dezember 2021

Die Taktiken, Techniken und Verfahren (TTPs) in dieser RedLine Stealer-Kampagne ähneln einer Kampagne, die wir im Dezember 2021 analysiert haben. In dieser Kampagne registrierte der böswillige Akteur discrodapp[.]com, die sie verwendet haben, um RedLine Stealer getarnt als Installer für die beliebte Messaging-App bereitzustellen. In beiden Kampagnen nutzte der Bedrohungsakteur gefälschte Websites, die populäre Software imitierten, um Benutzer zur Installation ihrer Malware zu verleiten, registrierte die Domains mit demselben Domain-Registrar, verwendete dieselben DNS-Server und verbreitete dieselbe Malware-Familie.

Abbildung 8 – Gefälschte Discord-Website, die RedLine Stealer verbreitet, Dezember 2021.

Fazit

Diese Kampagne zeigt einmal mehr, wie schnell Angreifer wichtige, relevante und interessante aktuelle Ereignisse nutzen, um effektive Köder zu kreieren. Prominente Ankündigungen und Ereignisse sind immer wieder interessante Themen für Bedrohungsakteure, die zur Verbreitung von Malware ausgenutzt werden können. Da sich solche Kampagnen häufig darauf verlassen, dass Benutzer Software aus dem Internet als Erstinfektionsvektor herunterladen, können Organisationen solche Infektionen verhindern, indem sie nur Software aus vertrauenswürdigen Quellen herunterladen.

Indikatoren für Kompromisse

Dateien

Windows11Installationsassistent.zip
4293d3f57543a41005be740db7c957d03af1a35c51515585773cedee03708e54

Windows11Installationsassistent.exe
b50b392ccb07ed7a5da6d2f29a870f8e947ee36c43334c46c1a8bb21dac5992c

Windows11InstallationAssistant.exe – kein Füllbereich
7d5ed583d7efe318fdb397efc51fd0ca7c05fc2e297977efc190a5820b3ee316

win11.jpg
c7bcdc6aecd2f7922140af840ac9695b1d1a04124f1b3ab1450062169edd8e48

win11_reversed.dll
6b089a4f4fde031164f3467541e0183be91eee21478d1dfe4e95c4a0bb6a6578

Netzwerkverbindungen

Windows-aktualisiert[.]com

hxxps://cdn.discordapp[.]com/attachments/928009932928856097/936319550855716884/Windows11InstallationAssistant.zip

hxxp://81.4.105[.]174/win11.jpg

45.146.166[.]38:2715

Author: admin

Leave a Reply

Your email address will not be published. Required fields are marked *