Detta har det inte skrivits om så mycket om och det har gått 10 månader nu men ditt inlägg fick mig att tänka på datumet den 27:e januari, 2022 dagen efter att slutfasen av Windows 11-uppgraderingen tillkännagavs så gjorde en användare en liten slumpartad whois på en domän hen tyckte såg annorlunda ut. Sagt och gjort, han kollade upp domänen windows-upgraded[.]com, som de använde för att sprida skadlig programvara dagen INNAN lanseringen av windows 11 genom att lura miljoner användare att ladda ner och köra en fejkad installation för att få en dags förtur till uppgraderingen av win11. Man gick in på sidan som såg ut som exakt som Microsofts hemsida för kommande lansering dagen efter för att ladda ner en fil med namnet för deras "installationsagents" i vanlig ordning. Domänen fångade utvecklaren som jobbar för hp uppmärksamhet eftersom den var nyregistrerad, dom nyttjade ett legitimt varumärke och det blit succe eller, för oss en tragedi. Utvecklaren av den skadliga mjukvaran använde windows-upgraded[dot]com domänen för att distribuera RedLine
Bild från denna sidan som använde användare är denna på bilden:
När man kollade upp domännamnet i en whois så ser man följande:
Domain Name: windows-upgraded.com
Creation Date: 2022-01-27T10:06:46Z
Registrar: NICENIC INTERNATIONAL GROUP CO., LIMITED
Registrant Organization: Ozil Verfig
Registrant State/Province: Moscow
Registrant Country: RU
När användaren klickade på nedladdningsknappen så fick användaren hem filen: Windows11InstallationAssistant.zip och den var bara 1.5MB men filen var 700mb när man kollade filens storlek.
När man unzippade filen så finns det en fil i arkivet med en storlek som var 751MB stor och filens namn var: "Windows11InstallationAssistant.exe" och några andra filer fanns också med, dessa var inte dolda men det såg ut och ser än idag ut på liknande visd fast på andra tillvägagångsätt för att bli lurad av dessa skojare som håller på med denna typen av scams, det är så mycket mer än bara pengar man riskerar att förlora genom att ens tanken på stoppa in en sådan här disk i en dator
Eftersom den komprimerade storleken på zip-filen bara var 1,5 MB betyder det att den har ett imponerande komprimeringsförhållande på 99,8 %. Detta är mycket större än det genomsnittliga zip-komprimeringsförhållandet för körbara filer på 47 %. För att uppnå ett så högt kompressionsförhållande innehåller den körbara filen troligen utfyllnad som är extremt komprimerbar.
I en valfri hex-editor alt. te.x "strings" fungerar också så ser man direkt vad filen innehåller:
0x30 i Windows11InstallationAssistant.exe.
En stor del av filen är fylld med 0x30 byte och är irrelevant för att köra filen.
Eftersom många sandboxes och andra analysverktyg för skadlig programvara inte kan behandla stora filer så måste man förminska filen för att kunna analysera filen via te.x virus-total.com. Det stora utfyllnadsområdet finns i slutet av filen precis före filsignaturen. Genom att trunkera utfyllnadsområdet såväl som signaturen får vi en giltig bärbar körbar fil.
Tänk inte tanken på att ens stoppa i någonting från en skojare på amazon eller övrigt ställe om den inte är exakt som den skall vara när du tar emot varan.
Nästa gång kanske det är en mer avancerad användare som lurar dig att det är en seagate disk, på disken finns en installations fil som ser ut att vara en fil till deras moln tjänst som ingår på vissa, framförallt usb diskar som ger en förmån till att använda deras molntjänst och det är lika lätt att fejka ett sådant här scenario genom att köpa sådanna här diskar som du hittat.
Redline har iår stulit framförallt gamers uppgifter mer än alla andra malware ihop, det spreds från en början på det viset på microsoft och sedan crackades detta för det kräver en license till att få komma åt panelen och när det crackades så har det exploderat och blvit extremt stort blland en massa scriptkiddies, och idag sprids det framförallt via olika packs/cheats/dlcs och allt vad det heter för gamers på windows. Jag spelar inte så jag har dålig koll men jag vet att det är exakt så dom gör idag, imorgon är det kanske att få kunder infekterade med en fejkad lagringsdisk, det är nog någon som gjort sak i den saken redan, kanske kanske inte, jag är inte villig att ta reda på det men det är hur jag skulle ha gjort om jag skulle vara skojaren, vilket jag naturligtvis inte är för att göra den saken tydlig för den som kanske tror annat iom detta inlägget men jag kan ju i min livliga fantasi leka med tanken på hur en hackare skulle kunna göra, eller jag tror mig skulle kunna göra för det som människor prioterar mest är pengar, och det är det som dom flesta inkl dom bästa har i tankarna när det handlar om saker, men för andra finns det andra saker som är vikttigare därför luras många av just detta och man får två flugor i en smäll, dom tar dina pengar och du får en felaktig vara med felaktig storlek och på köpet så utan din vetskap så skickar du dina cookies, filer tills team, bitcoins walleets och allt du kan tänka dig vara viktigt till en människa någon annanstans på denna underbara planet.
Att skapa ett fejkutrymme är extremt enkelt, det används framförallt till virtuella setups där man skall skapa utrymme för senare användning te.x en virtuell hårddiskt men statiskt utrymme, där har man ett exempel varför det finns och det utnyttjas av dessa skojare.
På te.x ext4 i en nix miljö, går det att göra med:
fallocate -l 1G 10Gigfile
Eller det är nog betydligt fler som känner till te.x "dd" som används till att skriva över data m.m, man skapar en fejkad disk, skriv det fejkade utrymmet till disken och wips så har du ett utrynme pǻ 10GB men den faktiska storleken är 1GB, te.x.
Rapportera användaren, det är väl det ända man kan göra, för att göra andra en tjänst som ev hittar samma sak och "chansar" på att dom har gjort ett klipp. Det kan vara ett test från en användare för något mycket mycket större bara, vem vet det det kan även vara någon som trollar det spelar ingen roll, amazon suger.
Det är inte skumt, det är sjukt! Bra att du är vaken, nu vet du iaf lite mer om vad som kan hända och vad du kan förlora mer än bara dina pengar och varför man skall vara extremt försiktig med saker som inte stämmer, som fejkad data
// wuseman