Hackers exploitant un outil Windows légitime pour des attaques sans fichier

0


Des chercheurs de Malwarebytes ont découvert une campagne de pirates inconnus, qui exploitent activement le service Windows Error Reporting pour l'injection de fichiers malveillants. Ils exploitent cet outil Windows légitime pour rester furtif et également pour exécuter leurs logiciels malveillants dans la mémoire du système, ne laissant ainsi aucune empreinte d'attaque.

Des pirates informatiques exploitent l'outil Windows lors d'une attaque sans fichier

Les chercheurs Jérôme Segura et Hossein Jazi de Malwarebytes ont fait surface une nouvelle campagne de piratage où les auteurs exploitent un outil Windows légitime appelé Service de rapport d’erreurs Windows (WER). Plus qu’informer l’utilisateur d’une erreur, il est utilisé par Microsoft pour rester informé des problèmes des utilisateurs dans Windows .

Le groupe de piratage suivi par les chercheurs, qui n'a pas encore été nommé, est actif depuis le 17 septembre, où la première attaque a été enregistrée. Ils disent que le moyen d'atteindre la cible est par un spear-phishing où un document malveillant a été incorporé dans l'e-mail, se présentant comme un Workers Compensation document comme le leurre à ouvrir.

 Exemple d'e-mail de phishing de Malwarebytes "width =" 1276 "height =" 880 "data-lazy-srcset =" https://techdator.net/wp-content/uploads/2020/10/Phishing-email -sample-from-Malwarebytes.jpg 1276w, https://techdator.net/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-300x207.jpg 300w, https://techdator.net /wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-1024x706.jpg 1024w, https://techdator.net/wp-content/uploads/2020/10/Phishing-email-sample- from-Malwarebytes-768x530.jpg 768w, https://techdator.net/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-218x150.jpg 218w, https://techdator.net/ wp-content / uploads / 2020/10 / Phishing-email-sample-from-Malwarebytes-1068x737.jpg 1068w "data-lazy-tailles =" (max-width: 1276px) 100vw, 1276px "data-lazy-src =" https://techdator.net/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes.jpg"/>[19459016[/19459030)Échantillond'e-maildephishingdeMalwarebytes"width="1276"height="880"srcset="https://techdatornet/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytesjpg1276whttps://techdatornet/wp-content/uploads/2020/10/Exempled'e-maildephishingdeMalwarebytes-300x207jpg300whttps://techdatornet/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-1024x706jpg1024whttps://techdatornet/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-768x530jpg768whttps://techdatornet/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-218x150jpg218whttps://techdatornet/wp-content/uploads/2020/10/Phishing-email-sample-from-Malwarebytes-1068x737jpg1068w"tailles="(max-width:1276px)100vw1276px"/></noscript><figcaption id= Exemple d'e-mail de phishing de Malwarebytes

Lors de l'ouverture, il invitera alors les utilisateurs à activer les macros et à modifier le contenu , qui en arrière-plan commence à exécuter un shellcode via un module VBA CactusTorch. Cela " chargera une charge utile .NET directement dans la mémoire du périphérique Windows désormais infecté ", déclare BleepingComputer .

Ensuite, cela sera exécuté dans la mémoire du système, qui ne laisse aucune trace sur le disque dur. En outre, il injecte un « shellcode intégré dans WerFault.exe, le processus Windows du service WER ». Le thread de service de rapport d’erreurs Windows nouvellement créé qui est infecté par le code malveillant vérifiera la sécurité.

Il vérifie tout débogage ou signe d'exécution dans un bac à sable ou des machines virtuelles, et s'il est jugé sûr, il passera ensuite à l'étape suivante de chargement du shellcode final " dans un thread WER nouvellement créé, ce qui sera être exécuté dans un nouveau thread. ”Il a été constaté que la charge utile finale était importée sous la forme d'un faux favicon.

Les chercheurs n'ont finalement pas pu l'étudier, car la charge utile finale, chargée à partir d'un site appelé « asia-kotoba [.] net » était en panne pendant l'analyse de l'attaque. Pourtant, à partir de quelques indices recueillis au cours du processus, ils ont établi un lien entre les auteurs et un groupe de hackers soutenu par l'État vietnamien.

Suivi comme APT32 le groupe de piratage est également appelé SeaLotus ou OceanLotus. L'utilisation du module VBA CactusTorch pour vider les charges utiles et le domaine qu'elles utilisent ( yourrighttocompensation [.] com ) pour ces attaques a été enregistrée à Ho Chi Minh Ville du Vietnam, laissant entendre qu'il s'agissait des pirates vietnamiens.

Leave A Reply

Your email address will not be published.