Die Betreiber von TrickBot Trojan haben erneut aktualisiert seinen bösartigen Code, und es ist nun in der Lage eine neue Windows von Nutzung 10 UAC Bypass. Durch dies, der Trojaner ist in der Lage sich mit erhöhten Rechten ausgeführt wird, ohne eine Benutzerkontensteuerung prompt Anzeige.
Was ist die Benutzerkontensteuerung (UAC)?
Laut Microsoft Dokumentation, Benutzerkontensteuerung (UAC) ist ein wesentlicher Bestandteil der gesamten Sicherheits Vision von Microsoft. UAC hilft, die Auswirkungen von Malware zu mildern.
Jede Anwendung, die Admin-Zugriff erfordert zur Zustimmung auffordern müssen. Die UAC zeigt eine Eingabeaufforderung jedes Mal ein solches Programm läuft mit Administratorrechten.
Nach zeigt die Eingabeaufforderung, der angemeldete Benutzer wird gefragt, ob sie das Programm Änderungen zu ermöglichen,. Wenn das genannte Programm ist verdächtig oder nicht erkannt, kann der Benutzer das Programm nicht ausgeführt werden. Der UAC-Bypass ist in legitimen Windows-Programmen durch das Betriebssystem verwendet, um andere Programme zu starten. Jedoch, da diese Programme nicht als hohe Priorität eingestuft Microsoft, es könnte eine Menge Zeit in Anspruch nimmt für Umleitungen festgelegt werden.
Wie für Malware, Bedrohung Akteure oft Benutzer eine UAC Bypass ihre Malware-Code mit Administratorrechten ausgeführt werden. Dies, Natürlich, erfolgte die UAC-Eingabeaufforderung ohne zeigen, um den Benutzer zu alarmieren.
Eines der neuesten Malware um diese Funktion zu nutzen, ist TrickBot. Sicherheitsforscher vor kurzem berichtet, dass TrickBot begonnen hat einen Windows-Nutzung 10 UAC-Bypass, der die legitimen fodhelper.exe Programm in Windows verwendet.
Jetzt, die TrickBot Team hat Bypass mit der auf einen anderen UAC geschaltet WSreset.exe Programm.
Wie von Bleeping-Computer, wenn sie ausgeführt, dieses Programm einen Befehl aus dem Standardwert der HKCU Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 shell open command Schlüssel lesen, und wird es dann ausführen. Nach der Ausführung des Befehls, keine UAC Aufforderung wird dem Benutzer angezeigt, und sie werden nicht wissen, dass ein Programm ausgeführt wurde.
Leider, TrickBot Betreiber beuten nun diese UAC Bypass den Trojaner mit erhöhten Rechten zu starten, ohne die über die Eingabeaufforderung angemeldeten Benutzer zu alarmieren. Dies ermöglicht es der Trojaner unbemerkt im Hintergrund laufen zu lassen und tun, um seine schmutzige Arbeit verstohlen.
Laut Cyber Forscher aus Morphisec, "Der letzte Schritt in diesem Bypass WSReset.exe auszuführen, was bewirkt, dass Trickbot mit erweiterten Rechten ohne UAC Aufforderung auszuführen. Trickbot tut das ‚ShellExecuteExW‘ API. Diese endgültige ausführbare ermöglicht Trickbot seine Nutzlast auf Workstations und andere Endpunkte zu liefern."
Mehr über TrickBot Trojan
TrickBot ist ein Banking-Trojaner, die sich um ist seit 2016. Die Bedrohung, die es darstellt, ist ziemlich katastrophal, wie es konzipiert ist Online-Banking und andere Anmeldeinformationen zu stehlen, Kryptowährung Portemonnaies, Browser-Informationen. 2019 Varianten des Trojaners wurden gegen Nutzer von T-Mobile verwendet, Sprint, Verizon unter anderem. Die Infektionen wurden durch bösartige Websites durchgeführt, dass die Nutzer der Dienste zu fälschen Zielseiten umgeleitet.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: