Nul
Et nyt angreb teknik, der inkluderer manipulation med et godt-kendte metode kæde til blinde antivirus-løsninger er blevet afsløret som er at sprede information-at stjæle malware.
Forskere fra Cisco Talos sagde mandag, at den nye malware-kampagne er spredning Agent Tesla, en ondartet form for spyware.
Den Trojan er i stand til at overvåge og indsamler ofrets tastatur indgange, systemets klippebord, tage screenshots, og exfiltrate legitimationsoplysninger, der tilhører en bred vifte af software, der er installeret på offerets maskine. Dette omfatter Google Chrome og Mozilla Firefox browsere, såvel som Microsoft Outlook e-mail-klient.
Sammen med Agent Tesla, kampagnen er også spredning Loke, en anden information og credential stealer.
Se også: Denne Trojan er forklædt som Google Play for at gemme på din telefon i et almindeligt syn
Mens spyware og overvågning malware er ofte spredt i det skjulte gennem phishing-angreb, bundtet som Potentielt Uønskede Programmer (PUP) med anden software, og downloades via ondsindede links, den seneste bølge af angreb har afsløret noget usædvanligt.
Truslen aktører bag kampagnen har manipuleret med et godt-kendte metode kæde og modificerede det på en sådan måde, at antivirus-løsninger ikke opdage det,” ifølge Talos.
Hackere har skabt en infrastruktur udnytte CVE-2017-11882 og CVE-2017-0199-en fjernkørsel af programkode fejl i Microsoft Office og en hukommelse håndtering af fejl, som tillader udførelse af vilkårlig kode, — at distribuere Agent Tesla og Loke.
Men den infrastruktur, der også bliver brugt til at distribuere andre former for malware, herunder Gamarue Trojan, som har været forbundet til botnets i fortiden.
CNET: Apple siger “farlige” Australske kryptering love sat ‘alle i fare’
Angrebet begynder med download af en ondsindet Microsoft .DOCX-fil, som indeholder instruktioner for at downloade en RTF-fil inde fra dokumentet. Det er dette tweak i at udnytte kæde, som går ubemærket af antivirus-løsninger.
“På det tidspunkt, filen blev analyseret, det havde næsten ingen fund på multi-engine antivirus scanning hjemmeside VirusTotal,” siger forskerne. “Kun to ud af de 58 antivirus programmer fundet noget mistænkeligt. De programmer, der er markeret denne prøve var der kun en advarsel om en forkert formateret RTF-fil.”
RTF-fil-format, som Microsoft udvikler, er beregnet til at fungere som en cross-platform dokument udveksling.
Den mest simple versioner af filer i dette format, der kun indeholder tekst og kontrol-ord strenge, og mens de ikke har indbygget understøttelse makroer, de støtter Microsoft Object Linking and Embedding (OLE) objekter og Mac Edition Manager abonnent objekter.
Dette tillader brugere at linke eller indlejre objekter i RTF-som en del af cross-platform support element i den fil format — men for at gøre det, tunge niveauer af formørkelse er tilføjet. Derudover, noget, som RTF-fil, der ikke anerkender generelt ignoreret.
Det er disse funktioner, som er misbruges af angribere i spørgsmålet.
TechRepublic: Cyberangreb er ved at blive mere klog end nogensinde, her er hvad man skal kigge efter
Den fremstillet RTF-bruges til at skjule og implementere CVE-2017-11882, forklædt som en skrifttype indikator i dokumentet. Filen er kraft-åbnet, og så udnytte straks kan udløse uden behov for brugerinteraktion.
Når udløst, sårbare maskiner kan være i fare, for de formål, for tyveri af information og overvågning.
“Det er ikke helt klart, om skuespilleren ændret udnytte manuelt, eller hvis de brugte et værktøj til at producere shellcode,” Talos siger. “Enten måde, det viser, at skuespilleren eller deres værktøjer har [ … ] evnen til at ændre assembler-kode på en sådan måde, at den resulterende opcode bytes se helt anderledes ud, men stadig kan udnytte den samme sårbarhed.”
“Dette er en teknik, der meget vel kunne bruges til at installere andre malware på en snigende måde i fremtiden,” forskerne tilføjet.
Tidligere og relaterede dækning
GandCrab ransomware operatører hold op med crypter service Panda Banker Trojan bliver en del af Emotet trussel distributionsplatform Garmin ‘ s Navionics udsat data fra tusindvis af kunder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0