Casa > Cyber ​​Notizie > Il malware Kraken senza file sfrutta il servizio di segnalazione errori di Windows
CYBER NEWS

Il malware Kraken senza file sfrutta il servizio di segnalazione errori di Windows

da   |  Last Update:  |  0 Commenti  

I ricercatori di sicurezza hanno appena scoperto un nuovo attacco senza file che sfrutta la segnalazione degli errori di Microsoft Windows (OMS).

Il gruppo di hacker dietro il cosiddetto attacco Kraken deve ancora essere identificato.

I ricercatori di sicurezza Hossein Jazi e Jérôme Segura affermano che l'attacco si basa sul malware nascosto negli eseguibili basati sul WER. In questo modo rimane inosservato senza creare alcun sospetto.




Spiegazione dell'attacco senza file del Kraken

L'attacco viene avviato da un documento di phishing adescamento in un file .ZIP, intitolato "Compensation manual.doc." Come visto in molti attacchi di phishing, il documento afferma di contenere informazioni sui diritti di compensazione dei dipendenti. Tuttavia, se un dipendente di un'organizzazione lo apre, attiveranno una macro dannosa. L'abilitazione delle macro è uno dei trucchi più vecchi nelle campagne dannose basate sul phishing.

In questo caso, la macro utilizza una versione personalizzata del modulo VBA CactusTorch che avvia un attacco senza file tramite shellcode. CactusTorch quindi scarica un binario compilato .Net, soprannominato Kraken.dll, che viene caricato in memoria ed eseguito tramite VBScript. Il payload inietta uno shellcode incorporato nel file WerFault.exe, che è connesso al servizio WER Microsoft. Lo shellcode effettua anche una richiesta HTTP a un dominio hardcoded, forse fatto per scaricare malware aggiuntivo.

"Segnalazione errori di Windows (OMS) è un'infrastruttura di feedback flessibile basata su eventi progettata per raccogliere informazioni sui problemi hardware e software rilevabili da Windows, segnalare le informazioni a Microsoft, e fornire agli utenti tutte le soluzioni disponibili," Microsoft dice.

Solitamente, quando un utente Windows vede in esecuzione WerFault.exe, potrebbero pensare che si sia verificato un errore. Tuttavia, in questo caso particolare, l'esecuzione di questo file significa un attacco malware mirato. È interessante notare che la stessa tecnica è stata implementata da NetWire RAT e Cerber ransomware.

Altre attività dannose viste in questa campagna senza file includono offuscamento del codice, DLL che opera in più thread, sondaggio per ambienti sandbox e debugger, e la scansione del registro per le macchine virtuali VMWare disponibili o Oracle VirtualBox. Anche, se sono presenti attività di analisi, saranno terminati.

Gli aggressori sconosciuti sono dietro gli attacchi senza file Kraken

Perché l'URL di destinazione hardcoded del malware è stato rimosso mentre i ricercatori stavano facendo l'analisi, attualmente è impossibile attribuire l'attacco a un particolare gruppo di minacce. Tuttavia, alcuni elementi dell'attacco del Kraken ricordano OceanLotus, un gruppo APT vietnamita.

Il malware OceanLotus si è concentrato sull'infettare reti specifiche in campagne di attacchi mirati. Il collettivo criminale dietro di esso conduce campagne contro le imprese e le agenzie governative in Asia: Laos, Cambogia, Vietnam, e le Filippine. Quello che si sa di questi attacchi particolari è che sono orchestrati da un gruppo di hacker di grande esperienza.

Perché malware senza file?

L'idea alla base il malware fileless è semplice: se esistono già strumenti su un dispositivo, come PowerShell.exe, per soddisfare gli obiettivi di un aggressore, allora perché rilasciare strumenti personalizzati che possono essere contrassegnate come malware? Se un criminale informatico può assumere un processo, eseguire il codice nel suo spazio di memoria, e quindi utilizzare tale codice per chiamare gli strumenti che sono già su un dispositivo, l'attacco diventa furtiva e quasi impossibile da rilevare.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Rimuovere Kraken Cryptor v2.2 ransomware Questo articolo spiega i problemi che si verificano in caso di....
  2. Lock.onion file Virus (KRAKEN Cryptor) - Rimuovere + Ripristino dei dati Questo articolo è stato creato per aiutare a spiegare cos'è...
  3. Kraken Virus - rimuovere e ripristinare .kraken file crittografati This article aims to help you learn how to remove...
  4. Kraken ransomware e Fallout Exploit Kit usati in attacchi su larga scala The Kraken ransomware is one of the latest virus threats...
  5. Kraken Cryptor v2.0.7 ransomware - come rimuoverlo Questo articolo è stato creato per aiutare a spiegare cos'è...
  6. JS_PLOWMET Fileless di Windows Malware non lascia alcuna traccia di intrusione Man mano che i criminali informatici diventano progressivamente sofisticati e innovativi nelle loro attività criminali....
  7. SockDetour Fileless Backdoor prende di mira gli appaltatori della difesa con sede negli Stati Uniti I ricercatori di sicurezza hanno rilevato una nuova campagna avanzata di minacce persistenti, quale...
  8. Fileless malware Piaghe 140 banche in tutta 40 paesi In precedenza associati con gli attacchi nazione sponsorizzato come il worm Stuxnet, senza file...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo