TrickBot Trojanのオペレーターは、悪意のあるコードをもう一度更新しました, そして今では新しいWindowsを活用することができます 10 UACバイパス. これを通して, トロイの木馬は、ユーザーアカウント制御プロンプトを表示せずに、昇格された特権で自分自身を実行することができます.
ユーザーアカウント制御とは (UAC)?
Microsoftによると ドキュメンテーション, ユーザーアカウント制御 (UAC) マイクロソフトの全体的なセキュリティビジョンの基本的なコンポーネントです. UACはマルウェアの影響を軽減するのに役立ちます.
管理者アクセスが必要な各アプリは、同意を求める必要があります. UACは、そのようなプログラムが管理者権限で実行されるたびにプロンプトを表示します.
プロンプトを表示すると, ログインしたユーザーは、プログラムに変更を許可するかどうかを尋ねられます. 当該プログラムが疑わしい、または認識されていない場合, ユーザーはプログラムの実行を防ぐことができます. UACバイパスは、OSが他のプログラムを起動するために使用する正規のWindowsプログラムに存在します. でも, これらのプログラムはマイクロソフトにとって優先度の高いものとして分類されていないため, バイパスが修正されるまでに多くの時間がかかる可能性があります.
マルウェアは, 脅威アクターは、UACバイパスを使用して、管理者権限でマルウェアコードを実行することがよくあります。. これ, もちろん, ユーザーに警告するUACプロンプトを表示せずに実行されます.
この機能を活用する最新のマルウェアの1つは、TrickBotです。. セキュリティ研究者は最近、TrickBotがWindowsの利用を開始したと報告しました 10 Windowsで正規のfodhelper.exeプログラムを使用するUACバイパス.
今, TrickBotチームは、 WSreset.exeプログラム.
BleepingComputerが説明したように, 実行時, このプログラムは、HKCU Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell openコマンドキーのデフォルト値からコマンドを読み取ります。, そしてそれを実行します. コマンド実行時, UACプロンプトはユーザーに表示されません, そして彼らはプログラムが実行されたことを知りません.
不運にも, TrickBotオペレーターは現在、このUACバイパスを悪用して、ログインしたユーザーにプロンプトを介して警告することなく、昇格された特権でトロイの木馬を起動しています。. これにより、トロイの木馬はバックグラウンドでサイレントに実行され、その汚い作業を密かに行うことができます。.
からのサイバーセキュリティ研究者によると モルフィセック, 「「このバイパスの最後のステップは、WSReset.exeを実行することです, これにより、TrickbotはUACプロンプトなしで昇格された特権で実行されます. Trickbotは、「ShellExecuteExW」APIを使用してこれを実行します. この最終的な実行可能ファイルにより、Trickbotはそのペイロードをワークステーションやその他のエンドポイントに配信できます.」
TrickBotトロイの木馬の詳細
TrickBotは、それ以来存在しているバンキング型トロイの木馬です。 2016. それがもたらす脅威は、オンラインバンキングやその他の資格情報を盗むように設計されているため、非常に悲惨です。, 暗号通貨ウォレット, ブラウザ情報. 2019 トロイの木馬の亜種 T-Mobileのユーザーに対して使用されました, スプリント, とりわけベライゾン. 感染は、サービスのユーザーを偽のランディングページにリダイレクトする悪意のあるWebサイトによって実行されました。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: