Zero
Una nuova tecnica di attacco che comprende la manomissione di un noto sfruttare catena per non vedenti di soluzioni antivirus è stato scoperto che è la diffusione di informazioni per il furto di malware.
I ricercatori Cisco Talos ha detto lunedi che la nuova campagna di malware si diffonde Agente di Tesla, una virulenta forma di spyware.
Il Trojan è in grado di monitorare e raccoglie la vittima input della tastiera, la clipboard di sistema, prendere screenshot, e sottrarre le credenziali di appartenendo a una varietà di software installato sulla macchina della vittima. Questo include Google Chrome e Mozilla Firefox browser, così come il client di posta elettronica Microsoft Outlook.
A fianco di Agente di Tesla, la campagna è anche la diffusione di Loki, un altro informazioni e credenziali di stealer.
Vedi anche: Questo Trojan si maschera da Google Play per nascondere sul telefono in bella vista
Mentre spyware e sorveglianza malware è spesso diffusa di nascosto attraverso attacchi di phishing, in bundle come Programmi Potenzialmente Indesiderati (PUP) con altri software, e scaricati attraverso link malevoli, l’ultima ondata di attacchi ha rivelato qualcosa di insolito.
La minaccia di attori dietro la campagna aver manomesso un noto sfruttare catena e “modificato in modo tale che le soluzioni antivirus non lo rileva,” secondo Talos.
Gli hacker hanno creato un’infrastruttura sfruttando la vulnerabilità CVE-2017-11882 e CVE-2017-0199-un esecuzione remota di codice difetto in Microsoft Office e di gestione della memoria bug che permette l’esecuzione di codice arbitrario — per distribuire l’Agente di Tesla e Loki.
Tuttavia, l’infrastruttura è, inoltre, utilizzato per distribuire altre forme di malware, tra cui il Gamarue Trojan, che è stato collegato a botnet in passato.
CNET: Apple dice ‘pericoloso’ Australiana di crittografia leggi put ‘tutti a rischio”
L’attacco inizia con il download di un malware Microsoft .DOCX file che contiene le istruzioni per scaricare un file RTF da all’interno del documento. È questo tweak exploit catena che passa inosservato soluzioni antivirus.
“Al momento il file è stato analizzato, ha avuto quasi nessun rilevamenti sul multi-motore di scansione antivirus sito VirusTotal,” dicono i ricercatori. “Solo due di 58 programmi antivirus trovato niente di sospetto. I programmi contrassegnati questo campione sono stati solo l’allarme su un erroneamente formattato in file RTF.”
Il file RTF format, sviluppato da Microsoft, è destinato ad agire come un cross-piattaforma di interscambio di documenti.
La più semplice delle versioni dei file in questo formato contiene solo il testo e la parola di controllo stringhe, e mentre essi non supportano in modo nativo macro, supporta Microsoft Object Linking and Embedding (OLE) oggetti e Mac Edition Manager oggetti sottoscrittore.
Questo consente agli utenti di collegare o incorporare oggetti in RTF come parte del cross-platform elemento di supporto del formato di file — ma per fare in modo pesante i livelli di offuscamento, sono aggiunti. Inoltre, tutto ciò che il file RTF che non riconosce è generalmente ignorata.
Sono queste le caratteristiche che sono vittime di abusi da parte di hacker in questione.
TechRepublic: Attacchi stanno diventando sempre più intelligenti che mai, ecco cosa cercare
L’predisposto RTF viene utilizzato per nascondere e distribuire CVE-2017-11882, travestito come un tipo di carattere indicatore all’interno del documento. Il file è la forza aperta e così l’exploit può attivare immediatamente senza la necessità di interazione con l’utente.
Una volta attivato, i computer vulnerabili, che potrebbe essere compromessa la finalità del furto di informazioni e di sorveglianza.
“Non è del tutto chiaro se l’attore cambiato l’exploit manualmente, o se hanno usato uno strumento per produrre la shellcode,” Lui dice. “Ad ogni modo, questo dimostra che l’attore o i loro strumenti hanno [la] possibilità di modificare il codice assembler in modo tale che la risultante di opcode byte look completamente differenti, ma ancora sfruttare la vulnerabilità stessa.”
“Questa è una tecnica che potrebbe essere utilizzato per distribuire malware in modo furtivo in futuro,” i ricercatori hanno aggiunto.
Precedente e relativa copertura
GandCrab ransomware operatori di squadra con i crypter servizio di Panda Banchiere Trojan diventa parte di Emotet minaccia piattaforma di distribuzione di Garmin Navionics dati esposti appartenenti a migliaia di clienti
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0