Обнаружение системного языка

Злоумышленники могут пытаться собрать информацию о системном языке жертвы, чтобы определить географическое местоположение этого хоста. Эта информация может использоваться для формирования дальнейшего поведения, включая то, будет ли злоумышленник заражать цель и/или предпринимать определенные действия. Это решение может приниматься разработчиками и операторами вредоносного ПО для снижения риска привлечения внимания конкретных правоохранительных органов или судебного преследования/проверки со стороны других структур. Существуют различные источники данных, которые злоумышленник может использовать для определения системного языка, такие как системные настройки по умолчанию и раскладки клавиатуры. Конкретные проверки будут различаться в зависимости от цели и/или злоумышленника, но могут включать такое поведение, как Запрос реестра и вызовы функций Native API. Например, в системе Windows злоумышленники могут попытаться определить язык системы, запрашивая ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language или анализируя выходные данные функций Windows API GetUserDefaultUILanguage, GetSystemDefaultUILanguage, GetKeyboardLayoutList и GetUserDefaultLangID. В системе macOS или Linux злоумышленники могут запросить locale для получения значения переменной окружения $LANG.