Migrera från Windows 7? Du kanske vill göra det nu
Med mindre än ett år tills slutet av Windows 7 support, användare kanske vill överväga att migrera förr snarare än senare att undvika skadlig programvara som sprider sig mycket lättare på föråldrade plattformar.
Forskare på Trend Micro säger att de har hittat nya skadliga program som använder Slack-kanaler, GitHub, och filen.io-file-sharing webbplats för att stjäla data från Windows-Datorer.
Den tidigare okänd malware är en del av en “vattenhål”, en typ av attack som innebär att äventyra en webbplats som är benägna att få besök av en tänkt målgrupp.
Den namnlösa webbplatsen i fråga skulle vara av intresse för personer som är intresserade av “politisk verksamhet”, enligt Trend Micro, som säger att den här kampanjen startade i slutet av februari.
Den infekterade webbplats stötte varje besökare bara en gång för att en skadlig sida att utnyttjas CVE-2018-8174, en fjärr-kod VBScript motor brist som kan utnyttjas via Internet Explorer.
Microsoft korrigerad bugg i Maj 2018, så alla besökare som kör Windows utan att plåstret kan ha blivit smittad med “Slub’, Trend Micro ‘ s namn för skadlig kod, eftersom angriparen bygger på Slak och GitHub (SLack och githUB) för att kommunicera med och stjäla data från en infekterad DATOR.
Trend Micro konstaterar att när ett mål är infekterad, det första skadliga nedladdningar annan uppsättning filer som innehåller Slub, som sedan kontrollerar för förekomst av antivirusprogram.
Om någon upptäcks, är det helt enkelt blad och detta verkar ha hållit det under radarn för alla antivirus-produkt tills nu, enligt Trend Micro.
Den malware också utnyttjar en ännu äldre Windows-bugg, CVE-2015-1705, win32k.sys lokal behörighetshöjning fel som ansågs vara användbara genom riktade angripare, eftersom det kunde användas för att kringgå ett Windows-program sandlåda.
När en maskin har varit helt äventyras, bakdörr använder eget Slack kanal för att kolla kommandon tas från ‘sammanfattning’ utdrag värd på GitHub, och skickar sedan kommandon till en privat Slack kanal som kontrolleras av angriparen.
Den infekterade maskinen också inlagda riktade filer till filen.io-file-sharing webbplats, från vilken angripare plockar upp den stulna filer.
Slub aktörer har ett stort intresse i person-relaterad information, med ett särskilt fokus på kommunikation programvara”, enligt Trend Micro forskare.
Bakdörr innehåller kommandon för att komprimera i mål-mappen skrivbord och stjäla det. Det också skapa en fil som innehåller den fil träd av användarens skrivbord. Och den söker sig offline-data som lagras i Skype, samt information om användarens vanor på Twitter, KakaoTalk, och BBS. Slutligen, det kopierar alla .hwp-filer, förlängning används av en koreansk ordbehandlings-app.
Trend Micro säger att det informeras Kanadensiska Centrum för It-Säkerhet, som arbetat med ägaren av vattning-håls webbplats för att ta bort skadlig programvara omdirigera.
Slack har sedan shutdown Slack Arbetsyta som används av angriparen som en kränkning av dess villkor. GitHub har också tagit bort filer från sin tjänst.
“Vår undersökning gör att vi tror med en stark tro att det var en del av en eventuell riktad attack kampanj,” Trend Micro forskarna säger.
“Angriparna tycks också vara proffs, baserade på deras sätt att hantera sin attack. De bara använda offentliga tjänster från tredje part och därför inte behöver registrera några domäner eller något annat som kan lämna ett spår.
“Några e-post adresser som vi hittade under undersökningen var också att använda papperskorgen e-post system, vilket ger angriparna en ren yta. Slutligen, de vattenhål som valts av angripare kan anses vara intressant för de som följer politiska aktiviteter, som kan ge en inblick i den typ av grupper och individer som angriparna inriktning.”
Trend Micro har identifierat infektion kedja som används av Slub malware.
Bild: Trend Micro
Tidigare och relaterade täckning
Alla Intel marker öppna för nya Spoiler icke-Spectre attack: förvänta dig inte en quick fix
Forskare säger att Intel kommer inte att kunna använda en programvara begränsning till fullo ta itu med problemet Spoiler utnyttjar.
Microsoft security chef: IE är inte en webbläsare, så sluta använda den som din standard
Internet Explorer är en “överensstämmelse lösning” och bör endast användas selektivt, varnar Microsoft exec.
Google Chrome zero-day användes tillsammans med en Windows 7-zero-day
Google avslöjar Windows 7 zero-day. Microsoft arbetar på en lösning.
Windows-10 security guide: Hur man kan skydda ditt företag
Hur gör du för att konfigurera Windows-10 St för att undvika vanliga problem med säkerhet? Det finns ingen mjukvara magic bullet, tyvärr, och verktygen är olika för små företag och företag. Här är vad du ska se upp för.
Microsoft gör en sista ansträngning för att befria världen av Internet Explorer 10
Företagets kunder som kör Windows Server 2012 har ett år på sig att ändra från IE10 att IE11.
Hur virtualisering är att ändra Windows-program säkerhet TechRepublic
Sandlådor, minimal processer, Hyper-V behållare, Enheten Guard: virtualisering ger en hel del mer än VMs i moderna Windows.
7 security tips för att stoppa program från att stjäla din personliga information CNET
Vi frågade data integritet experter hur att skydda din personliga information när du hämtar och använder program på din telefon.
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter