Ny Malware Kampagne undviger AV Detection, Downloads Spyware
CYBER NEWS

Ny Ondsindet kampagne unddrager AV Detection, Downloads Spyware

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

Sikkerhed forskere har afsløret en ny ondsindet angreb, der involverer kendte exploits med det formål at omgå sikkerhedsløsninger. Kampagnen breder oplysninger stealers, eller stykker af sofistikeret spyware. Mere specifikt, angribere spreder en sofistikeret information-stjæler trojansk kendt som Agent Tesla, samt Loke oplysninger stjæler.



Agent Tesla Malicious Campaigns – Opdatering August 2019

Ifølge nye data, the Agent Tesla malware is currently employing steganography in its latest malspam campaigns. Steganography is the practice of concealing a file, besked, billede, or video within another file, besked, billede, or video. Faktisk, steganography is an old trick in malware distribution, and it literally means hiding code within a regular image which in most cases may not be checked for malware.

Tekniske Detaljer om Sofistikeret Attack, Unddrage AF Detection

Sikkerhed forskere på Cisco Talos opdaget "en meget mistænkeligt dokument, der ikke blev samlet op af almindelige antivirus løsninger".

Angriberne bag denne nye form for angreb har indsat en velkendt udnytte kæde. Men, det er blevet ændret på en sådan måde, at det går uopdaget af sikkerhedsløsninger.

Den Agent Tesla Trojan er designet til at stjæle login-oplysninger fra flere stykker software, såsom Google Chrome, Mozilla Firefox, Microsoft Outlook, blandt andre. Den trojanske kan også optage skærmbilleder, rekord webcams, og tillade angribere at installere yderligere malware på inficerede systemer, forskerne sagde.

Den trojanske er også i stand til at udføre andre ondsindede aktiviteter som overvågning og indsamling af tastatur input, systemets klippebord, at tage skærmbilleder, og exfiltrating indsamlet følsomme oplysninger. Men, Agent Tesla er ikke den eneste stykke malware distribueres i denne kampagne - Loke, anden information stjæler, er også faldet på ofrenes maskiner.

To Microsoft Word Udnytter Misbrugt: CVE-2017-0199 og CVE-2017-11.882

Med hensyn til de bedrifter, der bruges af modstandere – to offentlige udnytter til Microsoft Word sårbarheder CVE-2017-0199 og CVE-2017-11.882 anvendes i ondsindet angrebsscenarie.

CVE-2017-0199 udnytte, især, var anvendes i angreb i 2017 når trussel skuespillere misbrugt Microsoft Office-filer, som for at levere flere malware stammer. Det unikke ved hændelserne er, at de brugte en ny strategi ved at udnytte en forholdsvis ny funktion, der blev integreret i Microsoft Office-pakken sidste år.

CVE-2017-11.882 er en anden velkendt Microsoft Office udnytte som blev påvist i ondsindede kampagner i september i år, som blev levere den CobInt Trojan.

Den .docx-fil og RTF fil

Den aktuelle kampagne, opdaget og analyseret ved Cisco Talos, begynder med download af et ondsindet Microsoft .DOCX fil. Filen har instruktioner til at hente en bestemt RTF-fil fra dokumentet. Dette er den aktivitet, der er uopdaget af antivirus produkter.

Ifølge forskerne:

På det tidspunkt, filen blev analyseret, det havde næsten ingen fund på flermotoret antivirus scanning hjemmeside VirusTotal. Kun to ud af 58 antivirusprogrammer fundet noget mistænkeligt. De programmer, der er markeret denne prøve var kun advarsel om en forkert formateret RTF-fil.

Rich Text Format, eller RTF for korte, er et proprietært dokument filformat med offentliggjorte specifikation udviklet af Microsoft Corporation fra 1987 indtil 2008 for cross-platform dokumentudveksling med Microsoft-produkter.

RTF-filer understøtter ikke nogen makro sprog, men de gør støtte Microsoft Object Linking and Embedding (NEJ) objekter og Macintosh Edition Manager-abonnent objekter via ’ objekt’ kontrol ord. Brugeren kan linke eller integrere et objekt fra den samme eller andet format i RTF-dokument.

Med andre ord, det er muligt for brugere at linke eller integrere objekter ind i RTF-fil, men formørkelse skal tilføjes. Det skal også bemærkes, at noget, der RTF-filen ikke genkender normalt ignoreres.

Forskerne var ikke i stand til helt at forstå, hvordan truslen skuespiller ændrede udnytte manuelt, eller hvis de brugte et værktøj til at producere den shellcode. “Enten måde, dette viser, at skuespilleren eller deres værktøjer har [den] evne til at modificere den assembler kode på en sådan måde, at de resulterende operationskoder bytes se helt anderledes, men stadig udnytte samme sårbarhed.”

Sikkerhedseksperter er også forventer at se denne nye teknik indeholdt i andre ondsindede kampagner leverer andre stammer af malware.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler!

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...