【精選威脅情資】駭客利用偽冒的 Windows 11 更新安裝資料竊取軟體
本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。
危害與影響
偽冒網站屢見不鮮,如今駭客更大膽偽造全球知名且被廣泛運用的微軟 Windows 網站,誘使受害者安裝假的 Windows 11 更新,並藉此植入惡意程式、竊取加密貨幣錢包,直接性地使受害者損失大量錢財。除此之外,該惡意程式還會長期潛伏在電腦中竊取瀏覽器資料,使受害者的帳號密碼等個資外洩,其危害性不容小覷。
分析師觀點
本報告所分析之資料竊取軟體為新出現的惡意程式族群,使用 Delphi 語言開發,不只會偷取瀏覽器資料,也會鎖定加密貨幣錢包作為目標。值得注意的是,在這次的攻擊活動中可以看到,駭客相當精通數位行銷的技巧,運用了 SEO 技術使一般的使用者點擊進入偽冒網站,誤將惡意程式當作 Windows 更新下載安裝。駭侵技術從來不限於程式語言,心理學、數位行銷等也將是駭客涉獵、鑽研的領域,研究人員不可不注意。
描述
近期,一支被取名為 Inno Stealer 的新惡意程式透過假的 Windows 11 網站散播。該惡意程式使用 Delphi 語言開發,主要的行為是偷取受害者的瀏覽器資料、加密貨幣錢包資料,而後回傳給到駭客的命令和控制 (Command & Control, C&C, C2) 伺服器。
最特別的是,被用來散佈惡意程式的偽冒網站域名為 windows11-upgrade11[.]com,顯然是駭客特製、用來混淆受害者的釣魚網站,此外駭客還進一步利用 SEO 技術提高該網站的搜尋排名,增加受害者點擊的機率。
技術分析
首先,受害者會透過 Windows 釣魚網站下載 Windows11.iso 到本地電腦執行,此時會同時載入第一階段的惡意程式加載程式。這個加載程式是使用 Inno Setup 6.1.0 的框架打包的,而這個框架也是使用 Delphi 語言寫的。也因為該惡意程式使用了 Inno Setup 的框架,因而被命名為 Inno Stealer。
下載完第一階段的惡意程式加載程式,這支加載程式會創建一個副檔名為 tmp 的檔案並用 CreateProcess 運行。但值得注意的是,雖然副檔名為 tmp,但該檔案其實是一個執行檔。
接下來,這支新創建的處理序會執行四支腳本,嘗試躲避偵測以及其他安全性的保護。例如:關閉 Windows Registry 中的安全性設定;使用 WMIC 嘗試解除安裝防毒軟體;將 .scr、.cmd、.exe 等副檔名加到 Windows Defender 的白名單中。
此外,這支處理序會在本地創建一個副檔名為 scr 的檔案。這也是一個執行檔,而且是盜竊資料的主程式,其盜竊的項目包含:受害者桌面的資料、瀏覽器的資料,比如 Cookie、瀏覽紀錄等、加密貨幣錢包的金鑰等。
最後,駭客利用多執行緒實作盜竊資料以及透過網路連線傳回 C2 伺服器的部分。要回傳的資料會先存在 temp 資料夾,加密後再回傳至 C2 伺服器。
除了竊取資料,這支惡意程式還會在 Windows 的 StartUp 資料夾中放一個捷徑連結到惡意程式,並使用 icacls.exe 的 Windows 內建工具去修改權限,讓一般使用者無法刪除該捷徑檔,以長期潛伏於受害者的電腦中。
緩解措施
因應由偽冒 Windows 網站發起的攻擊,受害者應避免從可疑的網站上下載 ISO 檔。需要升級 Windows 時,可以在本地的 Windows 控制台中進行操作,或是從正確的官網 Download Windows 11 (microsoft.com) 上下載檔案。
參考資料
- CloudSEK. “Information Stealer Targets Crypto Wallets Via Fake Windows 11 Update” Accessed May 4, 2022.
- BLEEPINGCOMPUTER. “Unofficial Windows 11 upgrade installs info-stealing malware” Accessed May 4, 2022.
入侵指標 (IoCs)
MD5 Hash
- 60F1CE760C29704A9F31FA4822A93563
- C4DE0DC996B0AC89AAEAD6E69675DA9F
- 5D2E97840522BFC28141E9DF5290D5C6
- DB4C6F6AA37A4DDFDABCFA6C10215E17
- B06B06A75C0F1BBC982CDC135D6CE79E
- 76AFC00CA850CD84A51FFD694B6DD849
- DF6B2CA2A70C5EE0326CEFE37302BF15
- E2C58B181D8077FC281F70E19EAE619F
- 7EB47A5786D455D02224521A340EAF08
IP
- 172[.]67[.]170[.]39
- 104[.]21[.]28[.]14
- 185[.]215[.]113[.]73
Writer: CyCraft
關於 CyCraft
奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。
訂閱奧義智慧電子報