Rilevamento nuovo malware campagna evade AV, download Spyware
CYBER NEWS

Nuova campagna dannoso sfugge rilevamento AV, download Spyware

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

I ricercatori di sicurezza hanno scoperto un nuovo attacco maligno che coinvolge exploit noti con lo scopo di aggirare le soluzioni di sicurezza. La campagna si sta diffondendo ladri di informazioni, o pezzi di sofisticati spyware. Più specificamente, attaccanti stanno diffondendo un sofisticato Trojan informazioni furto noto agente Tesla, così come le informazioni ladro di Loki.



Agent Tesla Malicious Campaigns – Aggiornamento agosto 2019

Secondo i nuovi dati, the Agent Tesla malware is currently employing steganography in its latest malspam campaigns. Steganography is the practice of concealing a file, messaggio, Immagine, or video within another file, messaggio, Immagine, or video. Infatti, steganography is an old trick in malware distribution, and it literally means hiding code within a regular image which in most cases may not be checked for malware.

Dettagli tecnici circa l'attacco sofisticato, Evading DI Detection

I ricercatori di sicurezza di Cisco Talos rilevato "un documento altamente sospetto che non è stato raccolto da soluzioni comuni antivirus".

Gli aggressori alla base di questa nuova forma di attacco hanno schierato un noto exploit a catena. Tuttavia, è stato modificato in modo tale che passa inosservato da soluzioni di sicurezza.

Il Agente Tesla Trojan è stato progettato per rubare informazioni di accesso da diversi pezzi di software, come Google Chrome, Mozilla Firefox, Microsoft Outlook, tra gli altri. Il Trojan può anche catturare screenshot, record di webcam, e consentono agli aggressori di installare malware aggiuntivi sui sistemi infetti, i ricercatori hanno detto.

Il Trojan è anche in grado di svolgere altre attività dannose come il monitoraggio e la raccolta di input da tastiera, sistema di appunti, prendere screenshot, e exfiltrating raccolto informazioni sensibili. Tuttavia, l'agente di Tesla non è l'unica parte di malware distribuito in questa campagna - Loki, un altro ladro di informazioni, è anche caduto sulle macchine delle vittime.

Due Microsoft Word Exploits Abused: CVE-2017-0199 e CVE-2.017-11.882

Per quanto riguarda le imprese che vengono utilizzati dagli avversari – due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2.017-11.882 sono utilizzati nello scenario attacco dannoso.

Il CVE-2017-0199 exploit, in particolare, era utilizzato in attacchi in 2017 quando gli attori minaccia abusati file di Microsoft Office, che per fornire diversi ceppi di malware. The unique thing about the incidents is that they used a new strategy by exploiting a relatively new feature that was integrated into the Microsoft Office suite last year.

CVE-2.017-11.882 è un altro ben noto Microsoft Office exploit che è stato rilevato in campagne dannosi nel settembre di quest'anno, che sono state consegnando il CobInt Trojan.

Il file .docx e il file RTF

La campagna corrente, scoperto e analizzato da Cisco Talos, inizia con il download di un Microsoft dannoso .file docx. Il file ha istruzioni per scaricare un particolare file RTF dal documento. Questa è l'attività che è inosservato dai prodotti antivirus.

Secondo i ricercatori:

Al momento il file è stato analizzato, non aveva quasi nessun rilevazioni sul sito web di scansione antivirus multi-engine VirusTotal. Solo due su 58 programmi antivirus hanno trovato nulla di sospetto. I programmi che sono stati contrassegnati questo campione avvertendo solo un file RTF erroneamente formattato.

Il Rich Text Format, o RTF in breve, è un formato di file di documento di proprietà con le specifiche pubblicate sviluppato da Microsoft Corporation dal 1987 fino a 2008 per il cross-platform documento di interscambio con i prodotti Microsoft.

I file RTF non supportano alcun linguaggio macro, ma lo fanno supportare Microsoft Object Linking and Embedding (NO) oggetti e oggetti abbonati per Macintosh Manager tramite il ‘ oggetto’ parola di controllo. L'utente può collegare o incorporare un oggetto dal medesimo o differente formato nel documento RTF.

In altre parole, è possibile per gli utenti di collegare o incorporare oggetti nel file RTF, ma offuscamento deve essere aggiunto. Va inoltre notare che tutto quello che il file RTF non riconosce di solito è ignorata.

I ricercatori non sono stati in grado di comprendere a fondo come l'attore minaccia cambiato l'exploit manualmente, o se hanno usato uno strumento per produrre lo shellcode. “In entrambi i casi, questo dimostra che l'attore o dei loro strumenti hanno [il] possibilità di modificare il codice assemblatore in modo tale che i byte opcode risultanti aspetto completamente diverso, ma comunque sfruttare la stessa vulnerabilità.”

Gli esperti di sicurezza sono inoltre in attesa di vedere questa nuova tecnica compresi in altre campagne dannosi che forniscono altri ceppi di malware.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...