Huis > Cyber ​​Nieuws > Fileless Kraken-malware maakt gebruik van de Windows-service voor foutrapportage
CYBER NEWS

Fileless Kraken Malware maakt gebruik van de Windows-foutrapportageservice

Beveiligingsonderzoekers hebben zojuist een nieuwe bestandsloze aanval ontdekt die misbruik maakt van Microsoft Windows Error Reporting (WHO).

De hackgroep achter de zogenaamde Kraken-aanval moet nog worden geïdentificeerd.

Beveiligingsonderzoekers Hossein Jazi en Jérôme Segura zeggen dat de aanval afhankelijk is van malware die zich verstopt in WER-gebaseerde uitvoerbare bestanden. Op deze manier blijft het onopgemerkt zonder enige verdenking te wekken.




The Kraken Fileless Attack uitgelegd

De aanval wordt geïnitieerd door een verleidelijk phishing-document in een .ZIP-bestand, getiteld "Compensation manual.doc." Zoals te zien is bij veel phishing-aanvallen, het document beweert informatie te bevatten over vergoedingsrechten voor werknemers. Echter, als een medewerker van een organisatie het opent, ze zullen een kwaadaardige macro activeren. Het inschakelen van macro's is een van de oudste trucs in op phishing gebaseerde kwaadaardige campagnes.

In dit geval, de macro maakt gebruik van een aangepaste versie van de CactusTorch VBA-module die een bestandsloze aanval initieert via shellcode. CactusTorch downloadt vervolgens een .Net-gecompileerd binair bestand, genaamd Kraken.dll, die in het geheugen wordt geladen en wordt uitgevoerd via VBScript. De payload injecteert een ingesloten shellcode in het WerFault.exe-bestand, die is verbonden met de WER Microsoft-service. De shellcode doet ook een HTTP-verzoek aan een hardgecodeerd domein, misschien gedaan om extra malware te downloaden.

"Windows Foutrapportage (WHO) is een flexibele, op gebeurtenissen gebaseerde feedbackinfrastructuur die is ontworpen om informatie te verzamelen over de hardware- en softwareproblemen die Windows kan detecteren, rapporteer de informatie aan Microsoft, en gebruikers alle beschikbare oplossingen bieden," Microsoft zegt.

Gewoonlijk, wanneer een Windows-gebruiker WerFault.exe ziet draaien, ze denken misschien dat er een fout is opgetreden. Echter, in dit specifieke geval, de uitvoering van dit bestand betekent een gerichte malwareaanval. Het is opmerkelijk dat dezelfde techniek is toegepast door NetWire RAT en Cerber ransomware.

Andere kwaadaardige activiteiten die in deze bestandsloze campagne worden gezien, zijn onder meer code verduistering, DLL die in meerdere threads werkt, zoeken naar sandbox- en debugger-omgevingen, en het register scannen op beschikbare virtuele VMWare-machines of Oracle VirtualBox. Ook, of er analyse-activiteiten zijn gelokaliseerd, ze worden beëindigd.

Onbekende aanvallers zitten achter de bestandsloze aanvallen van Kraken

Omdat de hardgecodeerde doel-URL van de malware werd verwijderd terwijl de onderzoekers bezig waren met de analyse, het is momenteel onmogelijk om de aanval toe te schrijven aan een bepaalde dreigingsgroep. Echter, sommige elementen van de Kraken-aanval doen denken aan OceanLotus, een Vietnamese APT-groep.

De OceanLotus-malware i was gericht op het infecteren van specifieke netwerken in gerichte aanvalscampagnes. Het criminele collectief erachter voert campagnes tegen zowel bedrijven als overheidsinstanties in Azië: Laos, Cambodja, Vietnam, en de Filippijnen. Wat is bekend over deze specifieke aanvallen is dat ze worden georkestreerd door een zeer ervaren hacking groep.

Waarom bestandsloze malware?

Het idee erachter fileless malware is simpel: als instrumenten die reeds bestaan ​​op een apparaat, zoals powershell.exe, om de doelstellingen van een aanvaller te vervullen, waarom dan vallen aangepaste instrumenten die kunnen worden gemarkeerd als malware? Als een cybercrimineel over een proces kan nemen, run code in zijn geheugen, en gebruik die code om instrumenten die al op een apparaat zijn te bellen, de aanval wordt stealthy en bijna onmogelijk op te sporen.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens