I ricercatori di sicurezza hanno scoperto un nuovo attacco maligno che coinvolge exploit noti con lo scopo di aggirare le soluzioni di sicurezza. La campagna si sta diffondendo ladri di informazioni, o pezzi di sofisticati spyware. Più specificamente, attaccanti stanno diffondendo un sofisticato Trojan informazioni furto noto agente Tesla, così come le informazioni ladro di Loki.
Campagne dannose dell'agente Tesla – Aggiornamento agosto 2019
Secondo i nuovi dati, il malware dell'Agente Tesla è attualmente impiegando la steganografia nelle sue ultime campagne di spam. La steganografia è la pratica di nascondere un file, messaggio, Immagine, o video all'interno di un altro file, messaggio, Immagine, o video. Infatti, la steganografia è un vecchio trucco nella distribuzione di malware, e significa letteralmente nascondere il codice all'interno di un'immagine normale che nella maggior parte dei casi potrebbe non essere controllata per malware.
Dettagli tecnici circa l'attacco sofisticato, Evading DI Detection
I ricercatori di sicurezza di Cisco Talos rilevato "un documento altamente sospetto che non è stato raccolto da soluzioni comuni antivirus".
Gli aggressori alla base di questa nuova forma di attacco hanno schierato un noto exploit a catena. Tuttavia, è stato modificato in modo tale che passa inosservato da soluzioni di sicurezza.
Il Agente Tesla Trojan è stato progettato per rubare informazioni di accesso da diversi pezzi di software, come Google Chrome, Mozilla Firefox, Microsoft Outlook, tra gli altri. Il Trojan può anche catturare screenshot, record di webcam, e consentono agli aggressori di installare malware aggiuntivi sui sistemi infetti, i ricercatori hanno detto.
Il Trojan è anche in grado di svolgere altre attività dannose come il monitoraggio e la raccolta di input da tastiera, sistema di appunti, prendere screenshot, e exfiltrating raccolto informazioni sensibili. Tuttavia, l'agente di Tesla non è l'unica parte di malware distribuito in questa campagna - Loki, un altro ladro di informazioni, è anche caduto sulle macchine delle vittime.
Due Microsoft Word Exploits Abused: CVE-2017-0199 e CVE-2.017-11.882
Per quanto riguarda le imprese che vengono utilizzati dagli avversari – due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2.017-11.882 sono utilizzati nello scenario attacco dannoso.
Il CVE-2017-0199 exploit, in particolare, era utilizzato in attacchi in 2017 quando gli attori minaccia abusati file di Microsoft Office, che per fornire diversi ceppi di malware. L'unica cosa sugli incidenti è che hanno usato una nuova strategia sfruttando una relativamente nuova funzionalità che è stata integrata nella suite Microsoft Office lo scorso anno.
CVE-2.017-11.882 è un altro ben noto Microsoft Office exploit che è stato rilevato in campagne dannosi nel settembre di quest'anno, che sono state consegnando il CobInt Trojan.
Il file .docx e il file RTF
La campagna corrente, scoperto e analizzato da Cisco Talos, inizia con il download di un Microsoft dannoso .file docx. Il file ha istruzioni per scaricare un particolare file RTF dal documento. Questa è l'attività che è inosservato dai prodotti antivirus.
Secondo i ricercatori:
Al momento il file è stato analizzato, non aveva quasi nessun rilevazioni sul sito web di scansione antivirus multi-engine VirusTotal. Solo due su 58 programmi antivirus hanno trovato nulla di sospetto. I programmi che sono stati contrassegnati questo campione avvertendo solo un file RTF erroneamente formattato.
Il Rich Text Format, o RTF in breve, è un formato di file di documento di proprietà con le specifiche pubblicate sviluppato da Microsoft Corporation dal 1987 fino a 2008 per il cross-platform documento di interscambio con i prodotti Microsoft.
I file RTF non supportano alcun linguaggio macro, ma lo fanno supportare Microsoft Object Linking and Embedding (NO) oggetti e oggetti abbonati per Macintosh Manager tramite il ‘ oggetto’ parola di controllo. L'utente può collegare o incorporare un oggetto dal medesimo o differente formato nel documento RTF.
In altre parole, è possibile per gli utenti di collegare o incorporare oggetti nel file RTF, ma offuscamento deve essere aggiunto. Va inoltre notare che tutto quello che il file RTF non riconosce di solito è ignorata.
I ricercatori non sono stati in grado di comprendere a fondo come l'attore minaccia cambiato l'exploit manualmente, o se hanno usato uno strumento per produrre lo shellcode. “In entrambi i casi, questo dimostra che l'attore o dei loro strumenti hanno [il] possibilità di modificare il codice assemblatore in modo tale che i byte opcode risultanti aspetto completamente diverso, ma comunque sfruttare la stessa vulnerabilità.”
Gli esperti di sicurezza sono inoltre in attesa di vedere questa nuova tecnica compresi in altre campagne dannosi che forniscono altri ceppi di malware.