BIZIT 11 - prvi dan

Hakeri iskorištavaju Windows Error Reporting service

Nova tehnika napada bez datoteka koja zloupotrebljava Windows Error Reporting service (WER), delo je hakerske grupe koja tek treba da bude identifikovana.

PCPress.rs Image

Napadači još nisu identifikovani

Kako kažu Malwarebytes security researchers Hossein Jazi i Jérôme Segura, vektor napada oslanja se na malware koji se zakopava u izvršne datoteke zasnovane na WER-u kako bi se izbeglo izazivanje sumnje.

U postu na blogu u utorak, dvojac je rekao da je novi napad “Kraken” – iako sam po sebi nije potpuno nova tehnika – otkriven 17. septembra. Phishing dokument koji je tim pronašao, spakovan je u .ZIP datoteku pod nazivom „ Compensation manual.doc (Priručnik za nadoknadu štete.doc)“, gde se tvrdi da sadrži informacije u vezi sa pravima na nadoknadu zaposlenih, ali kada se otvori, može da pokrene zlonamerni makro. Makro koristi prilagođenu verziju CactusTorch VBA modula za pokretanje napada bez datoteka, omogućen kroz shellcode. CactusTorch je u stanju da učita kompajlirani .Net binarni naziv pod nazivom “Kraken.dll” u memoriju i izvrši ga putem VBScripta. Ovo ubacuje shellcode u WerFault.exe,  proces povezan sa WER servisom koji Microsoft koristi za praćenje i adresiranje grešaka operativnog sistema.

Pročitajte i:  5 načina da podignete kopiranje i lepljenje/paste na viši nivo na Windowsu

Prema Malwarebytes „Taj servis za prijavljivanje grešaka, WerFault.exe, pokreće se kada se pojavi greška u vezi sa operativnim sistemom, Windows funkcijama ili aplikacijama. Kada žrtve hakovanja vide da WerFault.exe radi na njihovoj mašini, pretpostavljaju da se dogodila neka greška, ne sumnjajući da su u ovom slučaju zapravo meta u napadu.“ Ovu tehniku koriste i NetWire Remote Access Trojan (RAT) i cryptocurrency-kradljivac Cerber ransomware. Shellcode takođe izvršava naredbu kojom upućuje HTTP zahtev na hard-coded domain, verovatno za preuzimanje dodatnog malwarea. Pokazalo se da je napad Kraken trenutno teško pripisati određenoj grupi. Hard-coded target URL malwarea uklonjen je u trenutku analize, a bez toga nisu mogući jasni markeri koji ukazuju na jedan ili drugi APT.

Međutim, Malwarebites kaže da postoje neki elementi koji su istraživače podsetili na APT32, takođe poznat kao OceanLotus, vijetnamski APT za koga se veruje da je odgovoran za napade na BMW i Hyundai u 2019. godini.

Izvor: Zdnet

Facebook komentari:
Računari i Galaksija
Tagovi: , ,