Sikkerhed forskere har afsløret en ny ondsindet angreb, der involverer kendte exploits med det formål at omgå sikkerhedsløsninger. Kampagnen breder oplysninger stealers, eller stykker af sofistikeret spyware. Mere specifikt, angribere spreder en sofistikeret information-stjæler trojansk kendt som Agent Tesla, samt Loke oplysninger stjæler.
Agent Tesla ondsindede kampagner – Opdatering August 2019
Ifølge nye data, Agent Tesla malware er anvender i øjeblikket steganografi i sine seneste malspam -kampagner. Steganografi er praksis med at skjule en fil, besked, billede, eller video i en anden fil, besked, billede, eller video. Faktisk, steganografi er et gammelt trick i distribution af malware, og det betyder bogstaveligt talt at skjule kode i et almindeligt billede, som i de fleste tilfælde muligvis ikke kontrolleres for malware.
Tekniske Detaljer om Sofistikeret Attack, Unddrage AF Detection
Sikkerhed forskere på Cisco Talos opdaget "en meget mistænkeligt dokument, der ikke blev samlet op af almindelige antivirus løsninger".
Angriberne bag denne nye form for angreb har indsat en velkendt udnytte kæde. Men, det er blevet ændret på en sådan måde, at det går uopdaget af sikkerhedsløsninger.
Den Agent Tesla Trojan er designet til at stjæle login-oplysninger fra flere stykker software, såsom Google Chrome, Mozilla Firefox, Microsoft Outlook, blandt andre. Den trojanske kan også optage skærmbilleder, rekord webcams, og tillade angribere at installere yderligere malware på inficerede systemer, forskerne sagde.
Den trojanske er også i stand til at udføre andre ondsindede aktiviteter som overvågning og indsamling af tastatur input, systemets klippebord, at tage skærmbilleder, og exfiltrating indsamlet følsomme oplysninger. Men, Agent Tesla er ikke den eneste stykke malware distribueres i denne kampagne - Loke, anden information stjæler, er også faldet på ofrenes maskiner.
To Microsoft Word Udnytter Misbrugt: CVE-2017-0199 og CVE-2017-11.882
Med hensyn til de bedrifter, der bruges af modstandere – to offentlige udnytter til Microsoft Word sårbarheder CVE-2017-0199 og CVE-2017-11.882 anvendes i ondsindet angrebsscenarie.
CVE-2017-0199 udnytte, især, var anvendes i angreb i 2017 når trussel skuespillere misbrugt Microsoft Office-filer, som for at levere flere malware stammer. Det unikke ved hændelserne er, at de brugte en ny strategi ved at udnytte en forholdsvis ny funktion, der blev integreret i Microsoft Office-pakken sidste år.
CVE-2017-11.882 er en anden velkendt Microsoft Office udnytte som blev påvist i ondsindede kampagner i september i år, som blev levere den CobInt Trojan.
Den .docx-fil og RTF fil
Den aktuelle kampagne, opdaget og analyseret ved Cisco Talos, begynder med download af et ondsindet Microsoft .DOCX fil. Filen har instruktioner til at hente en bestemt RTF-fil fra dokumentet. Dette er den aktivitet, der er uopdaget af antivirus produkter.
Ifølge forskerne:
På det tidspunkt, filen blev analyseret, det havde næsten ingen fund på flermotoret antivirus scanning hjemmeside VirusTotal. Kun to ud af 58 antivirusprogrammer fundet noget mistænkeligt. De programmer, der er markeret denne prøve var kun advarsel om en forkert formateret RTF-fil.
Rich Text Format, eller RTF for korte, er et proprietært dokument filformat med offentliggjorte specifikation udviklet af Microsoft Corporation fra 1987 indtil 2008 for cross-platform dokumentudveksling med Microsoft-produkter.
RTF-filer understøtter ikke nogen makro sprog, men de gør støtte Microsoft Object Linking and Embedding (NEJ) objekter og Macintosh Edition Manager-abonnent objekter via ’ objekt’ kontrol ord. Brugeren kan linke eller integrere et objekt fra den samme eller andet format i RTF-dokument.
Med andre ord, det er muligt for brugere at linke eller integrere objekter ind i RTF-fil, men formørkelse skal tilføjes. Det skal også bemærkes, at noget, der RTF-filen ikke genkender normalt ignoreres.
Forskerne var ikke i stand til helt at forstå, hvordan truslen skuespiller ændrede udnytte manuelt, eller hvis de brugte et værktøj til at producere den shellcode. “Enten måde, dette viser, at skuespilleren eller deres værktøjer har [den] evne til at modificere den assembler kode på en sådan måde, at de resulterende operationskoder bytes se helt anderledes, men stadig udnytte samme sårbarhed.”
Sikkerhedseksperter er også forventer at se denne nye teknik indeholdt i andre ondsindede kampagner leverer andre stammer af malware.