Nul
Onderzoekers hebben ontdekt een nieuwe aanval keten die exploits weinig bekende Microsoft Windows-hulpprogramma ‘ s en onschuldige software om te vliegen onder de radar in de zoektocht gegevens te stelen.
Volgens Symantec, de nieuwe malware-campagne is een goed voorbeeld van wat het bedrijf noemt “het leven van het land.”
In andere woorden, aanvallers zijn nu te draaien om de middelen die reeds beschikbaar op de doelcomputers — met inbegrip van legitieme tools en processen-evenals het uitvoeren van eenvoudige scripts en shellcode in het geheugen en het uitvoeren van fileless aanvallen.
Door meer te focussen op zelfontwikkelde software en minder op de invoering van vreemde malware in de doel systemen, bedreiging actoren kan onopgemerkt blijven voor een langere en het minimaliseren van het risico te worden blootgesteld.
Een nieuwe aanval keten neemt deze techniek aan het hart.
Symantec merkte de campagne, die is onlangs ontdekt, maakt gebruik van een tool op alle Microsoft Windows-machines: de Windows Management Instrumentation Command-line (WMIC) utility.
Deze legitieme proces biedt een commando-regel interface voor het Windows Management Interface (WMI). WMI is gebruikt voor de administratieve taken op lokale en externe systemen en kan worden gebruikt voor het opvragen van de systeem-instellingen, de controle van de processen en het uitvoeren van scripts.
TechRepublic: het blokkeren van ad trackers vanaf volgende u op Firefox
Samen met XSL (eXtensible Stylesheet Language) bestanden, de twee gecombineerd worden gebruikt als onderdeel van een multi-stage infectie keten om informatie te stelen heimelijk van Windows-machines.
De aanval keten begint met een phishing-campagne met een snelkoppeling geleverd via een URL. Als een slachtoffer klikt op de kwaadaardige link, de snelkoppeling bestand — waarin een WMIC commando — het downloaden van een kwaadaardig XSL-bestand vanaf een externe server.
Het XSL-bestand bevat de JavaScript-code die wordt uitgevoerd door middel van het gebruik van mshta.exe een legitieme Windows-proces gebruikt voor het uitvoeren van de Microsoft HTML Application Host.
CNET: ONS en intelligentie bondgenoten mikken op tech bedrijven over encryptie
De JavaScript, echter, is niet zo onschuldig. In totaal heeft de JavaScript bevat een lijst van 52 domeinen gebruikt voor het willekeurig genereren van een domein en-poortnummer op in te kunnen downloaden, HTML-Toepassing (HTA) – bestanden en drie Dll ‘ s, die vervolgens geregistreerd regsvr32.exe, evenals de belangrijkste lading.
Extra modules worden vervolgens gedownload, wat leidt tot het compromis van het slachtoffer PC.
De lading bestaat uit een aantal modules die geschikt zijn voor diefstal van informatie, met inbegrip van de MailPassview hulpprogramma voor e-mail wachtwoord vastleggen; WebBrowser Passview software voor het oogsten van de web browser referenties, een keylogger, backdoor voor persistentie, en een bestand browser voor het bekijken en exfiltrating bestanden.
“Het gebruik van WMI door cybercriminelen is niet nieuw, maar het instrument wordt meestal gebruikt voor de voortplanting, maar in dit geval gebruikt voor het downloaden van een kwaadaardig bestand,” Symantec zegt. “Het gebruik van WMIC is gunstig voor de aanvallers, omdat het helpt hen om onopvallend blijven en biedt ook hen met een krachtig instrument om hen te helpen bij hun activiteiten.”
Vergelijkingen kunnen worden gemaakt tussen de WMI-en PowerShell, een andere legitieme service die voortdurend het doelwit van dreigingen op zoek naar een compromis Windows-machines.
Zie ook: Android API breken’ kwetsbaarheid lekken apparaat data, laat de gebruiker-tracking
In januari onderzoekers van FireEye zei kwetsbaarheden worden misbruikt in Microsoft Office verspreiden van info-het stelen van malware die in staat is ook cryptocurrency mijnbouw en de lancering van een denial-of-service (DDoS) – aanvallen.
Kwetsbaarheden uitgebuit door de campagne gebruik PowerShell om drop-malware payloads in kwetsbare systemen.
Vorige en aanverwante dekking
Bitfi ten slotte geeft vordering cryptocurrency portemonnee is niet te breken Ongeluk Cookie kwetsbaarheid geeft om de impact van medische apparaten Voormalige Qualys exec belast met handel met voorkennis na het beschermen van de broers van financieel verlies
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
0