Zuhause > Cyber ​​Aktuelles > Fileless Kraken Malware nutzt den Windows-Fehlerberichterstattungsdienst
CYBER NEWS

Fileless Kraken Malware nutzt den Windows-Fehlerberichterstattungsdienst

durch   |  Last Update:  |  0 Kommentare  

Sicherheitsforscher haben gerade einen neuen dateilosen Angriff entdeckt, der die Microsoft Windows-Fehlerberichterstattung ausnutzt (WER).

Die Hacking-Gruppe hinter dem sogenannten Kraken-Angriff muss noch identifiziert werden.

Die Sicherheitsforscher Hossein Jazi und Jérôme Segura sagen, dass der Angriff auf Malware beruht, die sich in WER-basierten ausführbaren Dateien versteckt. Auf diese Weise bleibt es unbemerkt, ohne einen Verdacht zu erregen.




Der Kraken Fileless Attack erklärt

Der Angriff wird durch ein verlockendes Phishing-Dokument in einer ZIP-Datei ausgelöst, mit dem Titel "Compensation manual.doc." Wie bei vielen Phishing-Angriffen zu sehen, Das Dokument soll Informationen über Arbeitnehmerentschädigungsansprüche enthalten. Jedoch, wenn ein Mitarbeiter einer Organisation es öffnet, Sie lösen ein bösartiges Makro aus. Das Aktivieren von Makros ist einer der ältesten Tricks in Phishing-basierten böswilligen Kampagnen.

In diesem Fall, Das Makro verwendet eine benutzerdefinierte Version des CactusTorch VBA-Moduls, die einen fileless Angriff über Shellcode initiiert. CactusTorch lädt dann eine .Net-kompilierte Binärdatei herunter, Kraken.dll genannt, welches in den Speicher geladen und über VBScript ausgeführt wird. Die Nutzdaten fügen einen eingebetteten Shellcode in die Datei WerFault.exe ein, die mit dem WER Microsoft-Dienst verbunden ist. Der Shellcode sendet auch eine HTTP-Anforderung an eine fest codierte Domäne, Vielleicht gemacht, um zusätzliche Malware herunterzuladen.

"Windows-Fehlerberichterstattung (WER) ist eine flexible ereignisbasierte Feedback-Infrastruktur, mit der Informationen zu Hardware- und Softwareproblemen gesammelt werden können, die Windows erkennen kann, Melden Sie die Informationen an Microsoft, und bieten Benutzern alle verfügbaren Lösungen," Microsoft sagt.

In der Regel, Wenn ein Windows-Benutzer sieht, dass WerFault.exe ausgeführt wird, Sie denken möglicherweise, dass ein Fehler aufgetreten ist. Jedoch, in diesem speziellen Fall, Die Ausführung dieser Datei bedeutet einen gezielten Malware-Angriff. Es ist bemerkenswert, dass NetWire RAT und Cerber Ransomware dieselbe Technik eingesetzt haben.

Andere böswillige Aktivitäten in dieser Kampagne ohne Dateien sind: Code-Verschleierung, DLL in mehreren Threads, Suche nach Sandbox- und Debugger-Umgebungen, und Scannen der Registrierung nach verfügbaren virtuellen VMWare-Maschinen oder Oracle VirtualBox. Auch, wenn sich Analyseaktivitäten befinden, Sie werden beendet.

Unbekannte Angreifer stecken hinter den dateifreien Kraken-Angriffen

Weil die fest codierte Ziel-URL der Malware während der Analyse durch die Forscher entfernt wurde, Es ist derzeit unmöglich, den Angriff einer bestimmten Bedrohungsgruppe zuzuordnen. Jedoch, Einige Elemente des Kraken-Angriffs erinnern an OceanLotus, eine vietnamesische APT-Gruppe.

Die OceanLotus-Malware Ich habe mich darauf konzentriert, bestimmte Netzwerke in gezielten Angriffskampagnen zu infizieren. Das dahinter stehende kriminelle Kollektiv führt Kampagnen gegen Unternehmen und Regierungsbehörden in Asien durch: Laos, Kambodscha, Vietnam, und die Philippinen. Was über diese speziellen Angriffe bekannt ist, dass sie von einer sehr erfahrenen Hacker-Gruppe orchestriert werden.

Warum fileless Malware??

Die Idee dahinter dateilosen Malware Ist einfach: wenn Werkzeuge existieren bereits auf einem Gerät, wie PowerShell.exe, ein Angreifers Ziele zu erfüllen,, warum dann fallen benutzerdefinierte Tools, die als Malware gekennzeichnet werden könnten? Wenn ein Cyber-Kriminellen einen Prozess übernehmen kann, laufen Code in seinem Speicherplatz, und dann diesen Code verwenden Werkzeuge aufrufen, die bereits auf einem Gerät sind, Der Angriff wird verstohlen und fast unmöglich zu erkennen.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Entfernen Sie Kraken Cryptor v2.2 Ransomware In diesem Artikel werden die Probleme erläutert, die auftreten, wenn...
  2. Lock.onion Dateien Virus (KRAKEN cryptor) - entfernen + Daten wiederherstellen Dieser Artikel wurde erstellt, um zu erklären, was ...
  3. Kraken Virus - Entfernen und Wiederherstellen .kraken verschlüsselten Dateien This article aims to help you learn how to remove...
  4. Kraken Ransomware und Fallout Exploit Kit verwendet in Großangriffe The Kraken ransomware is one of the latest virus threats...
  5. Kraken Cryptor v2.0.7 Ransomware - wie man es entfernen Dieser Artikel wurde erstellt, um zu erklären, was ...
  6. JS_PLOWMET Dateilos Windows-Malware rückstandslos von Intrusion As cybercriminals become progressively sophisticated and innovative in their criminal...
  7. SockDetour Fileless Backdoor zielt auf in den USA ansässige Verteidigungsunternehmen Sicherheitsforscher entdeckten eine neue Advanced Persistent Threat-Kampagne, welche...
  8. Dateilose Malware Plagues 140 Banken in 40 Länder Zuvor mit Nation gesponserten Attacken wie der Stuxnet-Wurm, fileless...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau