Sicherheitsforscher haben einen neuen böswilligen Angriff entdeckt, die bekannten Exploits mit dem Ziel, Sicherheitslösungen zu umgehen beinhaltet. Die Kampagne ist die Verbreitung von Informationen stealers, oder Stücke von anspruchsvoller Spyware. Genauer, Angreifer einen ausgeklügelten Informationsstehlender Trojaners bekannt als Agent-Tesla Verbreitung, sowie die Informationen Stealer Loki.
Bösartige Kampagnen von Agent Tesla – Update August 2019
Nach neuen Daten, die Agent Tesla-Malware ist beschäftigt derzeit Steganographie in seinen neuesten Malspam-Kampagnen. Steganographie ist das Verbergen einer Datei, Nachricht, Bild, oder Video in einer anderen Datei, Nachricht, Bild, oder Video. Tatsächlich, Steganographie ist ein alter Trick bei der Verbreitung von Malware, und es bedeutet wörtlich das Verstecken von Code in einem regulären Image, das in den meisten Fällen nicht auf Malware überprüft werden kann.
Technische Details zu dem Sophisticated Angriff, Evading NACHWEIS-
Sicherheitsforscher bei Cisco Talos detektiert "ein höchst verdächtiges Dokument, das durch eine gemeinsamen Anti-Virus-Lösungen nicht abgeholt wurde".
Die Angreifer hinter dieser neuen Form des Angriffs haben eine gut bekannte Exploit eingesetzt Kette. Jedoch, es wurde so modifiziert, dass sie von Sicherheitslösungen unentdeckt.
Die Agent Tesla Trojan ist so konzipiert, Login-Informationen aus mehreren Stücken von Software zu stehlen, wie Google Chrome, Mozilla Firefox, Microsoft Outlook, unter anderem. Der Trojaner kann auch Screenshots erfassen, Rekord Webcams, und ermöglichen es Angreifern weitere Malware auf infizierte Systeme installieren, sagten die Forscher.
Der Trojaner ist auch in der Lage die Durchführung andere bösartige Aktivitäten wie die Überwachung und das Sammeln Tastatureingaben, Zwischenablage, Aufnahme von Schnappschüssen, und exfiltrating sensible Informationen gesammelt. Jedoch, der Agent Tesla ist nicht das einzige Stück Malware in dieser Kampagne verteilt - Loki, andere Informationen Stealer, wird auch als Maschinen, die auf Opfer gefallen.
Zwei Microsoft Word Exploits Abused: CVE-2017-0199 und CVE-2.017-11.882
Wie für die Taten, die von den Gegnern verwendet werden – zwei öffentliche Exploits für Microsoft Word Schwachstellen CVE-2017-0199 und CVE-2.017-11.882 ist in dem böswilligen Angriffsszenario verwendet.
Die CVE-2017-0199 ausnutzen, insbesondere, war bei Angriffen verwendet in 2017 wenn Bedrohung Akteure Microsoft Office-Dateien missbraucht, die mehr Malware-Stämme liefern. Das Besondere an den Vorfällen ist, dass sie eine neue Strategie verwendet, indem eine relativ neue Funktion zu nutzen, die in die Microsoft Office-Suite im vergangenen Jahr integriert wurde.
CVE-2.017-11.882 ist ein weiteres bekanntes Microsoft Office ausnutzen, welche in bösartigen Kampagnen im September dieses Jahr festgestellt wurde, die lieferten die CobInt Trojan.
Die DOCX-Datei und die RTF-Datei
Die aktuelle Kampagne, entdeckt und analysiert, die von Cisco Talos, beginnt mit dem Download eines bösartigen Microsoft .DOCX-Datei. Die Datei hat Anweisungen einen bestimmten zum Download RTF-Datei aus dem Dokument. Dies ist die Aktivität, die von Antiviren-Produkten unentdeckt ist.
Nach Angaben der Forscher:
Zu der Zeit wurde die Datei analysiert, es hatte fast keine Erkennungen auf der Multi-Engine-Anti-Virus-Scan-Website Virustotal. Nur zwei von 58 Antiviren-Programme gefunden etwas Verdächtiges. Die Programme, die diese Probe gekennzeichnet wurden nur Warnung über eine falsch formatierte RTF-Datei.
Das Rich Text Format, oder RTF für kurze, ein proprietäres Dokumentdateiformat mit veröffentlichten Spezifikation wird von Microsoft Corporation entwickelt von 1987 bis 2008 für plattformübergreifende Dokumentenaustausch mit Microsoft-Produkten.
RTF-Dateien unterstützen keine Makrosprache, aber sie unterstützen Microsoft Object Linking and Embedding (NO) Objekte und Macintosh Edition-Manager Teilnehmerobjekte über das ‚ Objekt’ Steuerwort. Der Benutzer kann ein Objekt aus dem gleichen oder einem anderen Format in das RTF-Dokument verknüpft oder eingebettet.
Mit anderen Worten, ist es möglich, für die Benutzer der RTF-Datei zu verknüpfen oder einbetten Objekte in, aber Verschleierung muss hinzugefügt werden. Es sollte auch beachtet werden, dass alles, was die RTF-Datei nicht in der Regel nicht erkennt wird ignoriert.
Die Forscher konnten nicht vollständig verstehen, wie die Bedrohung Schauspieler verändert den Exploit manuell, oder wenn sie verwendet, um ein Werkzeug, um den Shellcode zu erzeugen,. “So oder so, dies zeigt, dass der Schauspieler oder ihre Werkzeuge [die] Fähigkeit, den Assembler-Code in einer Weise, dass die resultierenden Opcode Bytes ganz anders aussehen zu ändern, aber ausbeuten noch die gleiche Verwundbarkeit.”
Security-Experten erwarten auch diese neue Technik in anderen bösartigen Kampagnen enthalten, um zu sehen liefern andere Stämme von Malware.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: