CYBER NOUVELLES

Nouveau Windows 10 CCU Bypass utilisés par TrickBot à exécuter avec des privilèges d'administrateur

Les opérateurs de TrickBot de Troie ont une nouvelle fois mis à jour son code malveillant, et il est maintenant capable de tirer parti d'un nouveau Windows 10 UAC bypass. À travers cela, le cheval de Troie est capable de s'exécuter avec des privilèges élevés sans afficher un compte d'utilisateur rapide contrôle.




Qu'est-ce User Account Control (UAC)?

Selon Microsoft Documentation, Contrôle de compte d'utilisateur (UAC) est une composante fondamentale de la vision globale de sécurité de Microsoft. Permet d'atténuer l'UAC impact des logiciels malveillants.

Chaque application qui nécessite un accès administrateur doit inciter le consentement. L'UAC affiche une invite chaque fois qu'un tel programme fonctionne de avec des privilèges d'administrateur.

Sur présentation de l'invite, l'utilisateur connecté est demandé si elles souhaitent permettre au programme d'apporter des modifications. Si ledit programme est suspect ou non reconnu, l'utilisateur peut empêcher le programme de fonctionnement. Le by-pass est présent dans l'UAC des programmes légitimes de Windows utilisés par le système d'exploitation pour lancer d'autres programmes. Cependant, étant donné que ces programmes ne sont pas classés comme une haute priorité à Microsoft, il pourrait prendre beaucoup de temps pour pontages à fixer.

En ce qui concerne les logiciels malveillants, les acteurs de la menace souvent l'utilisateur d'un by-pass pour exécuter leur UAC code malveillant avec des privilèges d'administrateur. Ce, bien sûr, se fait sans montrer l'invite UAC pour alerter l'utilisateur.

en relation: [wplinkpreview url =”https://sensorstechforum.com/trickbot-trojan-windows-defender/”] TrickBot cheval de Troie une variante plus récente résiliente désactiver Windows Defender

L'un des derniers logiciels malveillants pour tirer parti de cette fonctionnalité est TrickBot. Les chercheurs en sécurité ont récemment rapporté que TrickBot a commencé à utiliser un ordinateur Windows 10 by-pass qui utilise le contrôle de compte programme fodhelper.exe légitime dans Windows.

Maintenant, l'équipe de TrickBot est passé à un autre contrôle de compte en utilisant le by-pass programme WSreset.exe.

Comme l'a expliqué Bleeping Computer, lorsqu'il est exécuté, ce programme va lire une commande de la valeur par défaut des HKCU Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 shell open clé de commande, et ensuite l'exécuter. Lors de l'exécution de la commande, aucune invite UAC est affiché à l'utilisateur, et ils ne sauront pas qu'un programme a été exécuté.

Malheureusement, les opérateurs de TrickBot exploitent maintenant cette dérivation UAC pour lancer le cheval de Troie avec des privilèges élevés sans alerter l'utilisateur connecté via l'invite. Cela permet au cheval de Troie de fonctionner en arrière-plan et faire son travail de sale subrepticement.

Selon les chercheurs de cybersécurité de Morphisec, "la dernière étape de ce contournement est d'exécuter WSReset.exe, ce qui entraînera Trickbot de fonctionner avec des privilèges élevés sans une invite UAC. Trickbot fait que l'utilisation de l'API « ShellExecuteExW ». Cet exécutable final permet Trickbot de livrer sa charge utile sur les postes de travail et d'autres paramètres."




En savoir plus sur TrickBot cheval de Troie

TrickBot est un cheval de Troie bancaire qui a été autour depuis 2016. La menace qu'il pose est tout à fait désastreuse car il est conçu pour voler la banque en ligne et d'autres informations d'identification, portefeuilles crypto-monnaie, informations du navigateur. 2019 variantes du cheval de Troie ont été utilisés contre les utilisateurs de T-Mobile, Sprint, Verizon entre autres. Les infections ont été effectuées par des sites web malveillants redirigés les utilisateurs des services aux pages d'atterrissage faux.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...