Zero
I ricercatori hanno scoperto un nuovo attacco a catena che sfrutta poco conosciuto utilità di Microsoft Windows e innocuo software a volare sotto il radar nel tentativo di rubare i dati.
Secondo Symantec, la nuova campagna di malware è un primo esempio di ciò che l’azienda chiama “vivere fuori della terra.”
In altre parole, gli aggressori si rivolgono ora alle risorse già disponibili sul computer di destinazione — compreso il legittimo strumenti e processi — così come l’esecuzione di semplici script e shellcode in memoria e l’esecuzione di fileless attacchi.
Concentrandosi di più su homegrown software e meno sull’introduzione di stranieri malware nei sistemi di destinazione, minaccia attori può rimanere silente per più a lungo e ridurre al minimo il rischio di essere esposti.
Un nuovo attacco a catena prende questa tecnica di cuore.
Symantec notato la campagna, che è stato scoperto di recente, utilizza uno strumento che si trova su tutte le macchine Microsoft Windows chiamato la Strumentazione Gestione Windows da riga di Comando (WMIC) utilità.
Questo processo legittimo fornisce una interfaccia a riga di comando per la Gestione Windows (WMI). WMI è utilizzato per le attività amministrative, sia a livello locale e remoto, e può essere utilizzato per eseguire query impostazioni di sistema, processi di controllo e l’esecuzione di script.
TechRepublic: Come bloccare annuncio tracker che ti seguono su Firefox
Insieme con XSL (eXtensible Stylesheet Language), file di combinare i due vengono sfruttati come parte di un multi-fase di infezione catena di rubare informazioni segretamente da macchine Windows.
L’attacco a catena inizia con una campagna di phishing contenente un collegamento consegnato tramite un URL. Se una vittima clic sul collegamento dannoso, il file di collegamento-che contiene un comando WMIC — download malevoli, XSL file da un server remoto.
Il file XSL contiene JavaScript che viene eseguito attraverso l’uso di mshta.exe un processo legittimo di Windows utilizzato per eseguire il Microsoft HTML Application Host.
CNET: NOI e l’intelligenza alleati prendono di mira le aziende di tecnologia su la crittografia
Il JavaScript, tuttavia, non è così innocente. In totale, il JavaScript contiene un elenco di 52 domini utilizzati per generare in modo casuale un dominio e il numero di porta per il download HTML Applicazione (HTA) e file di tre Dll, che sono quindi registrato regsvr32.exe nonché il principale payload.
Moduli aggiuntivi vengono scaricati, che porta alla compromissione dei PC della vittima.
Il payload comprende una serie di moduli adatti per il furto di informazioni, tra cui le MailPassview utilità per e-mail la password di acquisizione; WebBrowser Passview software per la raccolta browser web credenziali, un keylogger, backdoor per la persistenza, e un browser di file per la visualizzazione e la esfiltrare i file.
“L’uso di WMI da parte dei criminali informatici non è nuova, tuttavia, lo strumento è in genere utilizzato per la propagazione, ma in questo caso è utilizzato per scaricare un file “maligno”,” Symantec dice. “L’uso di WMIC è benefico per gli attaccanti, in quanto li aiuta a rimanere nell’occhio e fornisce un potente strumento per aiutarli nella loro attività.”
Il confronto può essere tracciata tra WMI e PowerShell, un altro servizio legittimo che viene continuamente bersagliato da minacce attori che cercano di compromesso macchine Windows.
Vedi anche: Android API rompere la vulnerabilità di perdite di dati del dispositivo, consente il tracciamento degli utenti
Nel mese di gennaio, i ricercatori di FireEye ha detto vulnerabilità vengono sfruttate in Microsoft Office per la diffusione di informazioni per il furto di malware che è anche in grado di cryptocurrency di data mining e di lanciare attacchi di tipo denial-of-service (DDoS).
Vulnerabilità sfruttate attraverso la campagna di utilizzare PowerShell per eliminare malware payload in sistemi vulnerabili.
Precedente e relativa copertura
Bitfi, infine, dà fino pretendiamo cryptocurrency portafoglio è unhackable Misfortune Cookie vulnerabilità restituisce un impatto dispositivi medici Ex Inter exec carica con l’insider trading dopo la protezione fratelli da perdita finanziaria
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0