Noll
En ny attack teknik som innefattar ingrepp i en välkänd utnyttja kedjan blind antivirus lösningar har avslöjats som sprider information om skadliga program som stjäl.
Forskare från Cisco Talos sade på måndagen att den nya malware kampanjen är att sprida Agent Tesla, en virulent form av spionprogram.
Den Trojanska är i stånd att övervaka och samlar offrets tangentbord ingångar, systemets urklipp, ta skärmdumpar, och exfiltrate referenser som hör till en mängd olika program som är installerade på offrets maskin. Detta inkluderar Google Chrome och Mozilla Firefox webbläsare, liksom Microsoft Outlook som e-postklient.
Tillsammans med Agent Tesla, kampanjen är också att sprida Loke, annan information och referens stealer.
Se även: Denna Trojan utger sig för att vara Google Play för att gömma sig på telefonen i vanligt sikte
Medan spionprogram och övervakning skadlig kod sprids ofta i hemlighet genom phishing-attacker, tillsammans med och som Potentiellt Oönskade Program (PUP) med andra program, och hämtas via skadliga länkar, den senaste vågen av attacker har avslöjat något ovanligt.
Hotet aktörer bakom kampanjen har manipulerats en välkänd utnyttja kedja och “modifierade det på ett sådant sätt så att antivirus lösningar inte upptäcka det,” enligt Talos.
Hackare har skapat en infrastruktur för att mobilisera CVE-2017-11882 och CVE-2017-0199-en fjärrkörning av kod fel i Microsoft Office och ett minne för hantering bugg som tillåter exekvering av godtycklig kod — att distribuera Agent Tesla och Loke.
Men infrastrukturen är också används för att distribuera andra former av skadlig kod, inklusive Gamarue Trojan, som har varit ansluten till ett botnät i det förflutna.
CNET: Apple säger att “farliga” Australian kryptering lagar sätta “alla at-risk”
Attacken börjar med att ladda ner en skadlig Microsoft .DOCX-fil som innehåller instruktioner för att ladda ner en RTF-fil från inuti dokumentet. Det är detta tweak i att utnyttja kedja som går obemärkt förbi antivirus lösningar.
“Vid den tid då filen var analyserat, det hade nästan inga upptäckter på multi-engine antivirus scanning webbplats VirusTotal,” forskarna säger. “Bara två av 58 antivirus program hittat något misstänkt. De program som flaggas detta prov var bara varning om ett felaktigt formaterad RTF-fil.”
I RTF-format, utvecklat av Microsoft, är avsett att fungera som en cross-plattform document interchange.
Den mest enkla versioner av filer i detta format innehåller bara text och kontroll ord strängar, och medan de inte har inbyggt stöd för makron, att de stöder Microsoft Object Linking and Embedding (OLE) objekt och Mac Edition Manager abonnenten objekt.
Detta tillåter användare att länka eller bädda in objekt i RTF-som en del av cross-platform support element i filen format-men för att göra så, tunga nivåer för mörkläggning. Dessutom, något som RTF-filen inte känner igen är i allmänhet ignoreras.
Det är dessa funktioner som utnyttjas av angripare i fråga.
TechRepublic: it-angrepp blir allt mer smart än någonsin, här är vad du ska titta efter
Tillverkade RTF används för att dölja och distribuera CVE-2017-11882, förklädd till en font indikator i dokumentet. Filen är kraft-öppnade och så utnyttja omedelbart kan utlösa utan behov för användaren.
När utlöses, sårbara maskiner kan vara nedsatt för information stöld och övervakning.
“Det är inte helt klart om skådespelaren förändrat utnyttja manuellt, eller om de används som ett verktyg för att producera shellcode,” Talos säger. “Antingen sätt, detta visar att den aktör eller deras verktyg har [den] förmåga att ändra assembler-kod på ett sådant sätt att den resulterande opcode byte ser helt olika, men ändå utnyttja samma sårbarhet.”
“Detta är en teknik som mycket väl skulle kunna användas för att distribuera andra skadliga program i en smygande sätt i framtiden,” forskarna lade till.
Tidigare och relaterade täckning
GandCrab ransomware aktörer team upp med crypter tjänsten Panda banktrojan blir en del av Emotet hot plattformen för distribution Garmin Navionics utsatt uppgifter som hör till tusentals kunder
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0