Gli operatori di TrickBot Trojan hanno ancora una volta aggiornato il suo codice malevolo, ed è ora in grado di sfruttare un nuovo Windows 10 UAC bypass. Attraverso questo, il Trojan è capace di eseguire con privilegi elevati senza visualizzare un utente pronta Account Control.
Qual è User Account Control (UAC)?
Secondo la Microsoft documentazione, Controllo dell'account utente (UAC) è una componente fondamentale della visione di sicurezza globale di Microsoft. UAC aiuta mitigare l'impatto del malware.
Ogni applicazione che richiede l'accesso amministratore deve richiedere il consenso. I display UAC prompt ogni volta che un programma viene eseguito con privilegi di amministratore.
Su che mostra il prompt, l'utente connesso viene chiesto se desiderano consentire al programma di cambiamenti rendono. Se il suddetto programma è sospetto o non riconosciuto, l'utente può impedire l'esecuzione del programma. Il bypass UAC è presente in programmi legittimi di Windows utilizzati dal sistema operativo per lanciare altri programmi. Tuttavia, come questi programmi non sono classificati come una priorità per Microsoft, si potrebbe prendere un sacco di tempo per bypass da fissare.
Per quanto riguarda il malware, attori minaccia spesso di utenti un bypass UAC per eseguire il loro codice del malware con privilegi di amministratore. Questo, naturalmente, è fatto senza mostrare l'UAC prompt per avvisare l'utente.
Una delle ultime minacce di sfruttare questa caratteristica è TrickBot. I ricercatori di sicurezza hanno riferito di recente che TrickBot ha iniziato utilizzando un Windows 10 UAC bypass che utilizza il programma fodhelper.exe legittima in Windows.
Ora, la squadra TrickBot è passato a un diverso UAC bypass utilizzando il programma WSreset.exe.
Come spiegato da Bleeping Computer, quando eseguito, questo programma leggerà un comando dal valore di default delle HKCU Software Classes aprire la chiave comando AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell , e poi eseguirlo. Al momento di eseguire il comando, richiesta nessuna UAC viene mostrato all'utente, e non sapranno che un programma è stato eseguito.
Sfortunatamente, operatori TrickBot ora stanno sfruttando questo bypass UAC per lanciare il cavallo di Troia con privilegi elevati senza mettere in allarme l'utente collegato tramite il prompt. Questo permette al Trojan di funzionare silenziosamente in background e fare il suo sporco lavoro di nascosto.
Secondo i ricercatori di sicurezza informatica da Morphisec, "la fase finale di questo bypass è eseguire WSReset.exe, che farà sì che Trickbot per l'esecuzione con privilegi elevati senza un prompt UAC. Trickbot farlo utilizza API ‘ShellExecuteExW’. Questo eseguibile finale permette Trickbot di consegnare il suo carico su workstation e altri endpoint."
Di più su TrickBot Trojan
TrickBot è un Trojan bancario che è stato intorno dal 2016. La minaccia si pone è abbastanza disastrosa in quanto è progettato per rubare l'online banking e altre credenziali, portafogli criptovaluta, informazioni sul browser. 2019 varianti del Trojan sono stati utilizzati contro gli utenti di T-Mobile, Sprint, Verizon tra gli altri. Le infezioni sono state effettuate da siti Web dannosi che reindirizzati gli utenti dei servizi di pagine di destinazione falsi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: