Bei der Datei handelte es sich um ein MSI-Paket (kein MSIX, diese sind dafür bekannt, bösartige Skripte auszuführen), sie ist ein gutes altes OLE-Paket. Die Datei (SHA256:69cad2bf6d63dfc93b632cfd91b5182f14b5140da22f9a0ce82c8b459ad76c38) hat eine niedrige Punktzahl auf VT (1/32). Bei dem Versuch, das Paket in einer Sandbox zu installieren, kommt es zu der Fehlermeldung "Dieses Paket kann nur von einem Bootstrapper ausgeführt werden" und schlägt damit fehl.
Wenn Sie diesen Fehler erhalten, wenn Sie versuchen, ein Paket mit einer EXE-Datei zu deinstallieren oder zu aktualisieren, kann dies daran liegen, dass Sie ein mehrsprachiges Paket mit einem Dialogfeld zur Auswahl der Sprache (für mehrsprachige Pakete) auf der Registerkarte Sprachen verwenden. Dies ist ein bekanntes Problem, das auftritt, wenn Ihre Installationen in verschiedenen Sprachen unterschiedliche Produktcodes haben.
Legacy-MSI-Dateien können auch die Ausführung von Code mithilfe der Tabelle "Benutzerdefinierte Aktion" auslösen. Diese Malware gehört zur SectopRat-Familie[5] (SHA256:7808f3aea222cdbec2e53b126f46195f4523e9501882b94e0cd42e30f8484f32). Es verbindet sich mit einem C2-Server (in Russland).
Die Persistenz wird mit einer geplanten Aufgabe implementiert, die die Nutzlast erneut aus dem "steam.jpg"-JPEG-Bild extrahiert. Diese Datei enthält eine weitere Malware, die mit der gleichen Technik entschlüsselt wird. Dieses Mal jedoch haben wir es mit einem Redline-Stealer[6] zu tun. (SHA256:38c233b38ef1838666ce7204f41349d0ba9431ea4b23fdb05f915cc7a09ff7be)
Zusammenfassend lässt sich sagen, dass Sie MSI-Paketen nicht vertrauen sollten. Laden Sie sie wie alle Anwendungen nur von sicheren Orten herunter.
コメント