Une fonctionnalité Windows légitime est exploitée pour l'installation de portes dérobées

0

[ad_1]

Une nouvelle campagne de phishing a été repérée dans la nature en abusant d'une fonctionnalité Windows légitime pour télécharger des logiciels malveillants de porte dérobée. Les auteurs de menaces utilisent ici des courriels diffus contenant des exécutables malveillants qui, s'ils sont téléchargés et activés, utiliseront la commande Windows Finger pour récupérer le logiciel malveillant MineBridge.

Fonctionnalité Windows abusée pour la configuration de la porte dérobée

Il est courant que les pirates informatiques abusent des fonctions légitimes du système pour éviter d'être détectés. Les auteurs de menaces du malware MineBridge font également de même, dans une campagne de phishing récemment repérée. Kirk Sayre, un chercheur en sécurité a découvert cette campagne, où les méchants exploitent la fonction Windows Finger.

La fonction Finger est un outil distant permettant d'obtenir des informations sur la liste des utilisateurs sur un système distant ou des détails détaillés sur un utilisateur spécifique à l'aide d'un système distant. Cela a d'abord été disponible pour Linux / Unix OS, et plus tard sur Windows. Comme décrit par Kirk Sayre les pirates utilisent cette commande pour installer les portes dérobées MineBridge dans le système de l'hôte.

MineBridge a été signalé pour la première fois par l'équipe de sécurité de FireEye où les auteurs diffusaient des fichiers Word contenant des exécutables malveillants via des e-mails de phishing, soumis en tant que candidat à un poste, et demanderont l'activation de l'édition options pour les afficher. Maintenant, ils se passent de la même manière, avec le même sujet.

Les utilisateurs qui ne se doutent pas de cette astuce ouvriront d'abord le document Word, activeront les options d'édition comme demandé et afficheront une fausse candidature pour le poste. En arrière-plan, le mot exécutable télécharge une macro protégée par mot de passe pour d'autres opérations.

 Macro désobfusquée par BleepingComputer "width =" 917 "height =" 94 "data-lazy-srcset =" https://techdator.net/wp-content/uploads/2021/01/Deobfuscated-Macro- by-BleepingComputer.jpg 917w, https://techdator.net/wp-content/uploads/2021/01/Deobfuscated-Macro-by-BleepingComputer-300x31.jpg 300w, https://techdator.net/wp-content/ uploads / 2021/01 / Deobfuscated-Macro-by-BleepingComputer-768x79.jpg 768w "data-lazy-tailles =" (max-width: 917px) 100vw, 917px "data-lazy-src =" https: // techdator. net / wp-content / uploads / 2021/01 / Deobfuscated-Macro-by-BleepingComputer.jpg "/> </p>
<p> <noscript> <img class= BleepingComputer a pu contourner l'authentification par mot de passe et a désobfusqué la macro pour voir un certificat encodé en Base64 en cours de téléchargement à partir d'un serveur distant à l'aide de la commande Windows Finger, et enregistré sous% AppData% vUCooUr. Ce certificat a ensuite été décodé à l'aide de la commande certutil.exe et enregistré sous% AppData% vUCooUr.exe.

Son exécution installera un exécutable TeamViewer pour charger de côté le logiciel malveillant MineBridge à l'aide de la méthode de détournement de DLL. Cela donnera aux acteurs de la menace le privilège d'écouter les hôtes infectés via le microphone de leur système et de planifier leurs prochains mouvements. Par conséquent, il est suggéré de désactiver définitivement la fonction Finger, si elle n’est pas utilisée.

[ad_2]

Leave A Reply

Your email address will not be published.