Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Мошенники распространяют инфостилер под видом обновления Windows 11 (http://txgate.io:443/showthread.php?t=12653)

Artifact 01-01-2025 10:26 AM

Код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.
https://www.securitylab.ru/upload/ib...74fc77a44.jpeg
Киберпреступники распространяют поддельные обновления Windows 11, содержащие вредоносное ПО, которое похищает данные из браузера (учетные данные, cookie-файлы), системные файлы и криптовалютные кошельки.
Вредоносная кампания в настоящее время еще активна. Распространяется вредоносное ПО путем так называемого «отравления» результатов поиска для продвижения в поисковой выдаче сайтов, где якобы можно загрузить Windows 11. На данный момент эти сайты еще работают. В их дизайне используются официальный логотип Microsoft и фавиконы, а также присутствует кнопка «Загрузить сейчас».
Если пользователь зашел на сайт через непосредственное подключение – загрузка доступна через Tor и VPN, он получит файл ISO с инфостилером внутри.
Специалисты ИБ-компании CloudSEK назвали вредоносное ПО Inno Stealer, поскольку оно использует установщик Windows Inno Setup. По их словам, код вредоноса не похож на код известных вредоносных программ и пока не был загружен на Virus Total.
Файл загрузчика на Delphi представляет собой исполняемый файл «Windows 11 setup». После запуска он удаляет временный файл is-PN131.tmp и создает новый файл .TMP, куда записывает 3078 КБ данных.
С помощью CreateProcess Windows API вредонос создает новые процессы, обеспечивает себе постоянство на системе и внедряет четыре файла. Два из них представляют собой скрипты Windows Command Script для отключения безопасности реестраy, добавления исключений в «Защитник», деинсталляции решений безопасности и удаления теневых томов.
Третий файл является утилитой выполнения команд, работающей с наивысшими привилегиями системы. Четвертый файл – VBA-скрипт, необходимый для запуска dfl.cmd.
На втором этапе заражения в директорию C:\Users\\AppData\Roaming\Windows11InstallationAss istant загружается файл с расширением .SCR. Он представляет собой агент для распаковки инфостилера.
С помощью команд PowerShell все похищенные данные копируются, шифруются и передаются на подконтрольный злоумышленникам C&C-сервер (windows-server031.com).


All times are GMT. The time now is 05:09 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.