De migratie van Windows 7? Wilt u misschien om het nu te doen
Met minder dan een jaar tot en met het einde van de ondersteuning voor Windows 7, kunnen de gebruikers om te overwegen migreren eerder vroeger dan later, om te voorkomen dat malware die zich verspreidt veel meer gemakkelijk op verouderde platformen.
Onderzoekers van Trend Micro zeggen dat ze gevonden hebben nieuwe malware die gebruik maakt van Slack kanalen, GitHub, en het bestand.io-file-sharing site om te stelen van gegevens van een Windows-Pc.
De voorheen onbekende malware is een onderdeel van een ‘watering’, een type aanval waarbij het compromitteren van een website waarschijnlijk bezocht door een beoogde doelgroep.
De naamloze website in kwestie zou van belang zijn voor mensen die geïnteresseerd zijn in “politieke activiteiten”, aldus Trend Micro, die zegt dat deze campagne ging van start eind februari.
De besmette site gestoten elke bezoeker slechts één keer naar een kwaadaardige pagina die uitgebuit CVE-2018-8174, een op afstand uitvoeren van code in de VBScript-engine lek dat kan worden uitgebuit via Internet Explorer.
Microsoft gepatcht de bug in Mei 2018, dus alle bezoekers met Windows zonder die patch besmet kunnen zijn met ‘Slub’, Trend Micro ‘ s naam voor de malware, omdat de aanvaller is gebaseerd op Speling en GitHub (SLack en githUB) te communiceren en gegevens te stelen van een geïnfecteerde PC.
Trend Micro merkt op dat zodra een slachtoffer is besmet, is de eerste malware downloads een andere set bestanden met Slub, die vervolgens gecontroleerd op de aanwezigheid van antivirus software.
Als enige is gedetecteerd, dat het gewoon bladeren en deze lijkt te hebben gehouden met het onder de radar van een antivirus-product tot nu toe, volgens Trend Micro.
De malware benut ook een nog oudere Windows bug, CVE-2015-1705, een win32k.sys lokale uitbreiding van bevoegdheden lek, dat gevonden werd om bruikbaar te zijn door gerichte aanvallers, omdat het kan worden gebruikt voor het omzeilen van een Windows-toepassing van de zandbak.
Zodra een machine is volledig in het gedrang, de backdoor maakt gebruik van een eigen Slack kanaal om te controleren commando ‘ s genomen van de ‘kern’ snippets gehost op GitHub, en dan stuurt de commando ‘ s om een eigen Slack kanaal worden gecontroleerd door de aanvaller.
De geïnfecteerde machine zet ook gerichte bestanden naar het bestand.io-file-sharing website, waar de aanvaller pakt de gestolen bestanden.
Slub actoren hebben een “sterke interesse in de persoon gerelateerde gegevens, met een speciale focus op de communicatie-software”, volgens Trend Micro onderzoekers.
De backdoor bevat opdrachten voor het comprimeren van het doel van de map op het bureaublad en stelen. Het is ook een bestand maken met de bestandsstructuur van de desktop van de gebruiker. En zij zoekt de offline gegevens die zijn opgeslagen in Skype, evenals informatie over de gebruiker gewoonten op Twitter, Facebook, en BBS. Tot slot, kopieert het alle .hwp-bestanden de extensie die wordt gebruikt door een koreaans woord-de verwerking van de app.
Trend Micro zegt dat het op de hoogte Canadian Centre for Cyber Security, die werkte met de eigenaar van de watering hole site te verwijderen van de redirect malware.
Slack heeft sinds het afsluiten van de zijde van de Werkruimte, dat gebruikt werd door de aanvaller als een schending van de voorwaarden van service. GitHub heeft ook verwijderd, de bestanden van de dienst.
“Ons onderzoek doet ons geloven dat met een sterk vertrouwen dat het onderdeel was van een mogelijke aanval gericht campagne” Trend Micro onderzoekers gezegd.
“De aanvallers ook lijken te zijn professionals, gebaseerd op hun manier van omgaan met hun aanval. Zij alleen gebruik maken van de openbare diensten van derden en daarom niet hoeft te registreren van domeinen of iets anders dat kan laat een spoor achter.
“De paar e-mail adressen die we gevonden tijdens het onderzoek werden ook met behulp van de prullenbak e-mail systemen, waardoor de aanvallers een schone uitstoot. Tot slot, de watering gekozen door de aanvallers kan worden beschouwd interessant voor degenen die politieke activiteiten, die zou kunnen geven een kijkje in de aard van de groepen en individuen die de aanvallers richten.”
Trend Micro heeft vastgesteld dat de infectie ketting gebruikt door de Slub malware.
Afbeelding: Trend Micro
Vorige en aanverwante dekking
Alle Intel-chips open voor nieuwe Spoiler niet-Spectre-aanval: verwacht niet dat een snelle oplossing
Onderzoekers zeggen dat Intel niet in staat zijn gebruik te maken van een software oplossing voor het volledig adres van het probleem Spoiler exploits.
Microsoft security chief: IE is niet een browser, dus stoppen met het gebruik als de standaard
Internet Explorer is een ‘compatibiliteit oplossing’ en mag alleen gebruikt worden selectief, waarschuwt Microsoft exec.
Google: Chrome zero-day werd gebruikt in combinatie met een Windows 7 zero-day
Google onthult Windows 7 nul-dag. Microsoft werkt aan een oplossing.
De Windows-10 beveiliging gids: Hoe bescherm uw business
Hoe u Windows configureren 10-Pc ‘ s te vermijden gemeenschappelijk veiligheids-problemen? Er is geen software magic bullet, helaas, en de instrumenten zijn verschillend voor kleine bedrijven en ondernemingen. Hier is wat om op te letten.
Microsoft maakt het laatste zetje om zich te ontdoen van de wereld van Internet Explorer 10
Enterprise-klanten met Windows Server 2012 hebben een jaar de tijd om te veranderen van IE10 te IE11.
Hoe virtualisatie is het wijzigen van de Windows application security TechRepublic
Zandbakken, minimale processen, Hyper-V, containers, Apparaat Guard: virtualisatie levert veel meer dan vm ‘ s in de moderne Windows.
7 tips om te stoppen met apps van het stelen van uw gegevens CNET
We vroegen gegevens privacy experts hoe uw persoonlijke informatie te beschermen wanneer het downloaden en gebruiken van apps op uw telefoon.
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters