New Malware Campagne Evadés AV détection, Téléchargements logiciels espions
CYBER NOUVELLES

Nouvelle campagne Malicious Evadés détection AV, Téléchargements logiciels espions

Les chercheurs en sécurité ont découvert une nouvelle attaque malveillante qui implique des exploits bien connus dans le but de contourner les solutions de sécurité. La campagne se répand stealers d'information, ou des morceaux de logiciels espions sophistiqués. Plus précisement, les attaquants diffusent une information de vol de sophistiqué cheval de Troie connu sous le nom d'agent Tesla, ainsi que les informations Loki stealer.



Agent Tesla Malicious Campaigns – Mise à jour Août 2019

Selon de nouvelles données, the Agent Tesla malware is currently employing steganography in its latest malspam campaigns. Steganography is the practice of concealing a file, message, image, or video within another file, message, image, or video. En fait, steganography is an old trick in malware distribution, and it literally means hiding code within a regular image which in most cases may not be checked for malware.

Détails techniques sur l'attaque sophistiquée, La détection soustrait à la signification

Les chercheurs en sécurité chez Cisco Talos détecté "un document très suspect qui n'a pas été repris par les solutions antivirus communes".

Les attaquants derrière cette nouvelle forme d'attaque ont déployé un bien connu chaîne exploit. Cependant, elle a été modifiée de telle sorte qu'elle passe inaperçue par les solutions de sécurité.

La Agent Tesla cheval de Troie est conçu pour dérober des informations de connexion de plusieurs logiciels, tels que Google Chrome, Mozilla Firefox, Microsoft Outlook, parmi d'autres. Le cheval de Troie peut également capturer des captures d'écran, webcams record, et permettent aux pirates d'installer des logiciels malveillants supplémentaires sur les systèmes infectés, les chercheurs.

Le cheval de Troie est également capable d'effectuer d'autres activités malveillantes telles que la surveillance et la collecte des entrées du clavier, Presse-papiers, prendre des screenshots, et exfiltration recueilli de l'information sensible. Cependant, Tesla agent n'est pas le seul morceau de logiciels malveillants distribués dans cette campagne - Loki, une autre information stealer, est également tombé sur les machines des victimes.

Deux Microsoft Word Exploits Abused: CVE-2017-0199 et CVE-2017-11882

En ce qui concerne les exploits qui sont utilisés par les adversaires – deux exploits publics pour les vulnérabilités Microsoft Word CVE-2017-0199 et CVE-2017-11882 sont utilisés dans le scénario d'attaque malveillante.

Le CVE-2017-0199 exploit, en particulier, était utilisés dans des attaques en 2017 lorsque les acteurs de la menace abusé des fichiers Microsoft Office qui pour fournir plusieurs souches de logiciels malveillants. The unique thing about the incidents is that they used a new strategy by exploiting a relatively new feature that was integrated into the Microsoft Office suite last year.

CVE-2017-11882 est un autre Microsoft Office bien connu exploit qui a été détecté dans les campagnes malveillantes en Septembre de cette année, qui livraient la CobInt cheval de Troie.

Le fichier .docx et le fichier RTF

La campagne actuelle, découvert et analysé par Cisco Talos, commence par le téléchargement d'un Microsoft malveillant .DOCX. Le fichier contient des instructions pour télécharger un particulier fichier RTF du document. Ceci est l'activité qui est détectée par les produits antivirus.

Selon les chercheurs:

Au moment où le dossier a été analysé, il avait presque pas sur le site Web de détection de l'analyse antivirus multi-moteur VirusTotal. Seulement deux 58 programmes antivirus trouvé quelque chose de suspect. Les programmes qui ont été marqués cet échantillon seul avertissement au sujet d'un fichier RTF formaté à tort.

Le Rich Text Format, ou RTF pour court, est un format de fichier de document exclusif aux spécifications publiées développé par Microsoft Corporation de 1987 jusqu'à 2008 pour l'échange de documents multi-plateforme avec les produits Microsoft.

Les fichiers RTF ne prennent pas en charge une langue macro, mais ils prennent en charge Microsoft Linking objet et Embedding (NO) des objets et des objets d'abonnés Macintosh Edition Manager via l' « objet ’ mot de commande. L'utilisateur peut lier ou incorporer un objet à partir du format identique ou différent dans le document RTF.

En d'autres termes, il est possible pour les utilisateurs de lier ou des objets dans le fichier Embed RTF, mais obscurcissement doit être ajouté. Il convient également de noter que tout ce que le fichier RTF ne reconnaît pas est généralement ignoré.

Les chercheurs ne sont pas en mesure de comprendre complètement comment l'acteur menace a changé l'exploit manuellement, ou s'ils ont utilisé un outil pour produire le shellcode. “D'une manière ou d'une autre, cela montre que l'acteur ou leurs outils ont [la] possibilité de modifier le code assembleur de telle sorte que les octets d'opcode résultant complètement différentes, mais encore exploiter la même vulnérabilité.”

Les experts en sécurité attendent également de voir cette nouvelle technique inclus dans d'autres campagnes malveillantes fournissant d'autres souches de logiciels malveillants.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...