Operatørerne af TrickBot Trojan har endnu en gang opdateret sin skadelig kode, og det er nu i stand til at udnytte en ny Windows 10 UAC bypass. Igennem dette, den trojanske er i stand til at udføre selv med forhøjede privilegier uden at vise en Brugerkontokontrol prompt.
Hvad er Brugerkontokontrol (UAC)?
Ifølge Microsofts dokumentation, User Account Control (UAC) er et grundlæggende element i Microsofts overordnede sikkerhed vision. UAC hjælper afbøde virkningerne af malware.
Hver app, der kræver admin adgang skal bede om samtykke. UAC viser en prompt hver gang en sådan program kører med administratorrettigheder.
Ved at vise prompten, den indloggede bruger bliver spurgt, om de ønsker at gøre det muligt for programmet at foretage ændringer. Hvis det nævnte program er mistænkelig eller genkendes ikke, brugeren kan forhindre programmet i at køre. Den UAC bypass er til stede i legitime Windows-programmer, der bruges af OS til at lancere andre programmer. Men, da disse programmer ikke er klassificeret som en høj prioritet til Microsoft, det kunne tage en masse tid for omfartsveje skal fastsættes.
Som for malware, trussel aktører ofte bruger en UAC bypass til at køre deres malware kode med administratorrettigheder. Dette, selvfølgelig, sker uden at vise UAC prompt for at advare brugeren.
En af de nyeste malware at udnytte denne funktion er TrickBot. Sikkerhed forskere for nylig rapporteret, at TrickBot er begyndt at bruge en Windows 10 UAC bypass, der bruger den legitime fodhelper.exe program i Windows.
Nu, den TrickBot holdet har skiftet til en anden UAC bypass-bruger WSreset.exe program.
Som forklaret af bleeping Computer, når henrettet, dette program vil læse en kommando fra standardværdien af HKCU Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell open command-tasten, og vil derefter udføre det. Ved at afvikle kommandoen, ingen UAC prompt vises til brugeren, og de vil ikke vide, at et program er blevet henrettet.
Desværre, TrickBot operatører nu udnytter denne UAC bypass til at lancere den trojanske med forhøjede privilegier uden at advare den indloggede bruger via prompt. Dette giver den trojanske at køre stille i baggrunden og gøre sit beskidte arbejde i det skjulte.
Ifølge cybersikkerhed forskere fra Morphisec, "det sidste skridt i denne bypass er at udføre WSReset.exe, hvilket vil medføre Trickbot til at køre med forhøjede privilegier uden en UAC prompt. Trickbot gør, at bruge ’ShellExecuteExW’ API. Denne endelige eksekverbare tillader Trickbot at afgive sin nyttelast på arbejdsstationer og andre endpoints."
Mere om TrickBot Trojan
TrickBot er en bank trojansk hest, der har eksisteret siden 2016. Den trussel, den udgør, er helt katastrofalt, da det er designet til at stjæle netbank og andre legitimationsoplysninger, cryptocurrency tegnebøger, browser information. 2019 varianter af den trojanske blev brugt mod brugere af T-Mobile, Sprint, Verizon bl.a.. Infektionerne blev udført af ondsindede websteder, der omdirigerede brugere af tjenester til falske destinationssider.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: