Een rapport van CloudSEK beschrijft de manier waarop cybercriminelen een nieuwe infostealer verspreiden met Google Search.

Neppe webpagina’s worden regelmatig misbruikt voor de verspreiding van malware. Tot voorkort vond je tussen de Google-zoekresultaten van ‘Windows 11 upgrade’ een nagemaakte Microsoft-website met een neppe downloadlink voor Windows 11. De website is inmiddels offline, maar werd in de afgelopen tijd gebruikt om een nieuwe infostealer onder slachtoffers te verspreiden. Securityonderzoeker CloudSEK analyseerde de infostealer in een rapport.

Inno Stealer

CloudSEK noemt het programma ‘Inno Stealer’. De infostealer is nooit eerder in de praktijk ontdekt. Het proces begint bij een executable, vermomd als ‘Windows 11 setup’. Voer je de executable uit, dan dumpt het programma een tijdelijk bestand (.tmp) op de schijf. Vandaaruit creëert de infostealer een bestand in de Startup directory, waarna het programma altijd opstart na een reboot. Daarna gebruikt het programma de CreateProcess Windows API om vier bestanden te creëren. Hier begint het echte werk.

Twee van de vier bestanden verwijderen securitysoftware en schakelen Windows Defender uit. Het derde bestand werkt als command-tool met de hoogste lokale machtiging. Het vierde bestand bevat een script voor de uitvoering van de command-tool. De daadwerkelijke infostealer kan inmiddels uitgerold worden, want de securitysoftware staat buiten spel.

Inno Stealer creëert een bestand in AppData\Roaming\Windows11InstallationAssistant. Het bestand voert een proces uit, waarna de browser cookies, wachtwoorden en gebruikersnamen van een PC op afstand beschikbaar zijn. Lokale gegevens worden met PowerShell commands naar een tijdelijke directory geloodst. Aldaar wordt de data versleuteld en naar een externe server verstuurd.

Samenvatting van Inno Stealer. Met dank aan CloudSEK.

Schaal

Inno Stealer is ontworpen voor thuis-pc’s. Beveiligingssoftware wordt met lokale machtiging uitgeschakeld. Wanneer de securitysoftware van een apparaat elders in het netwerk wordt beheerd, heeft Inno Stealer geen mogelijkheid om de securitysoftware te omzeilen. CloudSEK heeft geen bewijs dat het programma in de praktijk is misbruikt.

Tip: Ransomware is een APT, zo moet je het ook behandelen