Kriminalci sve češće koriste legitimne okvire za instalaciju softvera kao sredstvo za distribuciju zlonamjernog softvera, a Inno Setup se pokazao kao preferirani alat za one koji žele zaobići sigurnosne mjere. Ovaj legitimni Windows instalacijski okvir, prvobitno osmišljen za pojednostavljenje distribucije softvera, postao je sofisticirani mehanizam za isporuku kampanja zlonamjernog softvera koji ciljaju na krađu podataka iz pretraživača i kripto novčanika.
Zlonamjerna kampanja iskorištava Pascal skriptne mogućnosti Inno Setup-a kako bi kreirala naizgled legitimne instalere softvera koji prikrivaju višestupanjske zlonamjerne terete. Ovi kompromitovani instalateri predstavljaju se kao legitimne aplikacije, dok istovremeno pokreću složene lance infekcije koji na kraju isporučuju RedLine Stealer, široko distribuirani zlonamjerni softver poznat po prikupljanju osjetljivih podataka s ugroženih sistema.
Nedavna analiza istraživača iz Splunk-a otkrila je sofisticirani lanac napada koji koristi višestruke tehnike izbjegavanja kako bi izbjegao otkrivanje od strane sigurnosnih alata i sandbox okruženja. Kampanja pokazuje naprednu obradu, koristeći XOR enkripciju, mjere protiv analize i legitimne sistemske alate za održavanje postojanosti i izbjegavanje otkrivanja tokom procesa infekcije. Ovaj vektor napada predstavlja značajan evoluciju u taktikama distribucije zlonamjernog softvera, jer prevaranti zloupotrebljavaju inherentno povjerenje koje korisnici imaju u instalere softvera. Korištenjem legitimnih okvira poput Inno Setup-a, napadači mogu distribuirati zlonamjerni softver kroz razne kanale, uključujući phishing kampanje, ugrožena spremišta softvera i zlonamjerne oglase, bez izazivanja trenutne sumnje kod korisnika ili sigurnosnih sistema.
Napredno izbjegavanje i mehanizmi postojanosti počinju implementacijom Pascal skripte, koja koristi XOR enkripciju za obezvrjeđivanje ključnih nizova znakova i naredbi. Nakon izvršavanja, instalater provodi sveobuhvatnu analizu okruženja koristeći Windows Management Instrumentation (WMI) upite, specifično izvršavajući `Select * From Win32_Process where Name=` kako bi identificirao procese povezane s alatima za analizu zlonamjernog softvera. Ako se alati za analizu otkriju, instalater se odmah prekida kako bi se izbjeglo daljnje istraživanje.
Kampanja koristi višestruke slojeve izbjegavanja sandbox-a, uključujući podudaranje obrazaca naziva datoteka i profilisanje sistema. Zlonamjerni softver provjerava specifične podnizove u nazivu datoteke instalatera, poput “application_stable_release”, prije nego što nastavi s isporukom tereta. Dodatno, izvršava WMI upite kao što su `SELECT * FROM Win32_Processor` i `SELECT * FROM Win32_ComputerSystem` kako bi prikupio informacije o sistemu i identificirao okruženja virtualnih mašina koja se često koriste za analizu zlonamjernog softvera. Za postojanost, zlonamjerni softver kreira skrivene planirane zadatke koristeći naredbu `schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f`. Teret se ekstrahira u `%APPDATA%\Roaming\controlExplore\` i konfigurira za automatsko izvršavanje nakon ponovnog pokretanja sistema. Lanac infekcije kulminira DLL side-loading-om, gdje legitimna aplikacija (ScoreFeedbackTool.exe) učitava kompromitirani QtGuid4.dll, koji zatim dešifruje i izvršava komponentu HijackLoader, koja na kraju isporučuje RedLine Stealer u pokrenuti MSBuild.exe proces, efektivno skrivajući zlonamjerni teret unutar legitimnog alata za razvoj sustava Windows.
