Noll
Forskare har upptäckt en ny attack kedja som utnyttjar mindre kända Microsoft Windows-verktyg och intetsägande programvara för att flyga under radarn i strävan att stjäla data.
Enligt Symantec, den nya malware kampanjen är ett utmärkt exempel på vad företaget kallar “att leva på landet.”
Med andra ord, anfallare nu vänder sig till de resurser som redan finns på mål maskiner — inklusive legitima verktyg och processer-samt kör enkla skript och shellcode i minnet och utföra fileless attacker.
Genom att fokusera mer på egenutvecklade programvara och mindre på att utländska skadlig kod i target-system, hot aktörer kan förbli oupptäckta under längre tid och minimera risken för att bli utsatt.
En ny attack kedjan tar denna teknik till hjärtat.
Symantec märkt kampanjen, som har varit en nyligen upptäckt, använder ett verktyg som finns på alla Microsoft Windows-maskiner som kallas Windows Management Instrumentation kommandoraden (WMIC) utility.
Detta legitim process tillhandahåller ett kommandorad gränssnitt för Windows Management Interface (WMI). WMI används för administrativa uppgifter på både lokal och fjärr-system och kan användas för att söka inställningar i systemet, kontrollera processer, och köra skript.
TechRepublic: Hur blocket annons-trackers från följande du på Firefox
Tillsammans med eXtensible Stylesheet Language (XSL) filer, två i kombination utnyttjas som en del av en etappvis infektion kedjan för att stjäla information i hemlighet från Windows-maskiner.
Attacken kedjan börjar med en phishing-kampanj som innehåller en genväg som levereras via en URL. Om ett offer klickar på skadliga länkar en genväg — som innehåller en WMIC kommando-hämtar en skadlig XSL-fil från en avlägsen server.
XSL-filen innehåller JavaScript, vilket utförs genom att använda mshta.exe en legitim Windows-process som används för att köra Microsoft HTML-Ansökan Värd.
CNET: USA och intelligens allierade ta sikte på högteknologiska företag över kryptering
JavaScript är dock inte så oskyldig. Totalt JavaScript innehåller en lista med 52 domäner som används för att slumpmässigt generera en domän och portnummer för att hämta HTML-Program (HTA) – filer och tre Dll-filer, som sedan registreras till regsvr32.exe samt de största nyttolast.
Ytterligare moduler är sedan ner, vilket leder till en kompromiss på offrets DATOR.
Nyttolasten innehåller ett antal moduler som är lämplig för information stöld, inklusive MailPassview verktyg för e-post lösenord fånga; WebBrowser Passview programvara för skörd webbläsare referenser, en keylogger, bakdörr för uthållighet, och en fil som webbläsaren för att visa och exfiltrating filer.
“Användningen av WMI av cyberbrottslingar är inte ny, men den funktionen är vanligtvis används för förökning men i detta fallet används för att ladda ner en skadlig fil,” Symantec säger. “Användningen av WMIC är fördelaktigt för angripare som det hjälper dem att förbli osynlig och även ger dem ett kraftfullt verktyg för att hjälpa dem i deras verksamhet.”
Jämförelser kan göras mellan WMI-och PowerShell, en annan legitim service, som är att man hela tiden riktar hot mot aktörer som söker att kompromissa Windows-maskiner.
Se även: Android API bryta sårbarhet läcker enhet data, kan användare spåra
I januari, forskare från FireEye sade sårbarheter utnyttjas i Microsoft Office för att sprida info-skadliga program som stjäl som också kan cryptocurrency gruv-och lanserar denial-of-service (DDoS) attacker.
Sårbarheter utnyttjas genom kampanjen använda PowerShell för att släppa malware nyttolaster i sårbara system.
Tidigare och relaterade täckning
Bitfi slutligen ger upp påståendet cryptocurrency plånbok är unhackable Olycka Cookie sårbarhet återgår till effekter medicinska enheter Tidigare Qualys exec debiteras med insiderhandel efter att skydda bröder från ekonomisk förlust
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0