Los operadores de Troya TrickBot han actualizado una vez más su código malicioso, y ahora es capaz de aprovechar un nuevo Windows 10 de bypass UAC. A través de esto, el troyano es capaz de ejecutar en sí con privilegios elevados sin mostrar un aviso de Control de cuentas de usuario.
¿Qué es el Control de cuentas de usuario (UAC)?
Según Microsoft de documentación, Control de cuentas del usuario (UAC) es un componente fundamental de la visión general de seguridad de Microsoft. UAC ayuda a mitigar el impacto del malware.
Cada aplicación que requiere acceso de administrador debe solicitar el consentimiento. Las UAC muestra un aviso cada vez que un programa de este tipo se ejecuta con privilegios de administrador.
Una vez que muestra el símbolo, se pide al usuario que ha entrado si desean permitir que el programa Realizar cambios. Si dicho programa es sospechoso o no reconocido, el usuario puede evitar que el programa se ejecute. El bypass UAC está presente en los programas legítimos de Windows utilizados por el sistema operativo para poner en marcha otros programas. Sin embargo, ya que estos programas no están clasificados como de alta prioridad para Microsoft, que podría tomar mucho tiempo para derivaciones a ser fijos.
En cuanto a software malicioso, actores de amenaza menudo un bypass de usuario UAC para ejecutar su código de software malicioso con privilegios de administrador. Este, por supuesto, se hace sin mostrar la UAC para alertar al usuario.
Uno de los últimos malware para aprovechar esta característica es TrickBot. Los investigadores de seguridad informaron recientemente que TrickBot ha comenzado a utilizar un equipo con Windows 10 UAC de derivación que utiliza el programa fodhelper.exe legítima en Windows.
Ahora, el equipo TrickBot ha cambiado a un diferente UAC bypass mediante el programa WSreset.exe.
Según ha explicado que pita ordenador, cuando se ejecuta, este programa va a leer un comando desde el valor predeterminado de los Software Classes HKCU AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell llave abierta command, y luego ejecutarlo. Al ejecutar el comando, símbolo no UAC se muestra al usuario, y no van a saber que un programa se ha ejecutado.
Desafortunadamente, operadores TrickBot están explotando esta derivación UAC para poner en marcha el troyano con privilegios elevados sin alertar al usuario conectado a través de la línea de. Esto permite que el troyano se ejecute silenciosamente en el fondo y hacer su trabajo sucio encubierta.
Según los investigadores de seguridad cibernética de Morphisec, "el paso final en esta derivación es ejecutar WSReset.exe, lo que hará que Trickbot para ejecutar con privilegios elevados sin un mensaje de UAC. Trickbot hace que el uso de la API ‘ShellExecuteExW’. Este ejecutable final permite Trickbot para entregar su carga útil en estaciones de trabajo y otros criterios de valoración."
Más sobre TrickBot de Troya
TrickBot es un troyano bancario que ha existido desde 2016. La amenaza que supone es bastante desastroso, ya que está diseñado para robar la banca en línea y otras credenciales, carteras criptomoneda, información del navegador. 2019 variantes del troyano se utilizaron contra los usuarios de T-Mobile, pique, Verizon entre otros. Las infecciones se llevaron a cabo por los sitios web maliciosos que redirigen a los usuarios de los servicios a las páginas de inicio falsas.