CYBER NEWS

Nuovo di Windows 10 UAC bypass Utilizzato da TrickBot per l'esecuzione con privilegi di amministratore

Gli operatori di TrickBot Trojan hanno ancora una volta aggiornato il suo codice malevolo, ed è ora in grado di sfruttare un nuovo Windows 10 UAC bypass. Attraverso questo, il Trojan è capace di eseguire con privilegi elevati senza visualizzare un utente pronta Account Control.




Qual è User Account Control (UAC)?

Secondo la Microsoft documentazione, Controllo dell'account utente (UAC) è una componente fondamentale della visione di sicurezza globale di Microsoft. UAC aiuta mitigare l'impatto del malware.

Ogni applicazione che richiede l'accesso amministratore deve richiedere il consenso. I display UAC prompt ogni volta che un programma viene eseguito con privilegi di amministratore.

Su che mostra il prompt, l'utente connesso viene chiesto se desiderano consentire al programma di cambiamenti rendono. Se il suddetto programma è sospetto o non riconosciuto, l'utente può impedire l'esecuzione del programma. Il bypass UAC è presente in programmi legittimi di Windows utilizzati dal sistema operativo per lanciare altri programmi. Tuttavia, come questi programmi non sono classificati come una priorità per Microsoft, si potrebbe prendere un sacco di tempo per bypass da fissare.

Per quanto riguarda il malware, attori minaccia spesso di utenti un bypass UAC per eseguire il loro codice del malware con privilegi di amministratore. Questo, naturalmente, è fatto senza mostrare l'UAC prompt per avvisare l'utente.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/trickbot-trojan-windows-defender/”] TrickBot Trojan ultima variante resiliente per disattivare Windows Defender

Una delle ultime minacce di sfruttare questa caratteristica è TrickBot. I ricercatori di sicurezza hanno riferito di recente che TrickBot ha iniziato utilizzando un Windows 10 UAC bypass che utilizza il programma fodhelper.exe legittima in Windows.

Ora, la squadra TrickBot è passato a un diverso UAC bypass utilizzando il programma WSreset.exe.

Come spiegato da Bleeping Computer, quando eseguito, questo programma leggerà un comando dal valore di default delle HKCU Software Classes aprire la chiave comando AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell , e poi eseguirlo. Al momento di eseguire il comando, richiesta nessuna UAC viene mostrato all'utente, e non sapranno che un programma è stato eseguito.

Sfortunatamente, operatori TrickBot ora stanno sfruttando questo bypass UAC per lanciare il cavallo di Troia con privilegi elevati senza mettere in allarme l'utente collegato tramite il prompt. Questo permette al Trojan di funzionare silenziosamente in background e fare il suo sporco lavoro di nascosto.

Secondo i ricercatori di sicurezza informatica da Morphisec, "la fase finale di questo bypass è eseguire WSReset.exe, che farà sì che Trickbot per l'esecuzione con privilegi elevati senza un prompt UAC. Trickbot farlo utilizza API ‘ShellExecuteExW’. Questo eseguibile finale permette Trickbot di consegnare il suo carico su workstation e altri endpoint."




Di più su TrickBot Trojan

TrickBot è un Trojan bancario che è stato intorno dal 2016. La minaccia si pone è abbastanza disastrosa in quanto è progettato per rubare l'online banking e altre credenziali, portafogli criptovaluta, informazioni sul browser. 2019 varianti del Trojan sono stati utilizzati contro gli utenti di T-Mobile, Sprint, Verizon tra gli altri. Le infezioni sono state effettuate da siti Web dannosi che reindirizzati gli utenti dei servizi di pagine di destinazione falsi.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...