Huis > Cyber ​​Nieuws > Fileless Kraken-malware maakt gebruik van de Windows-service voor foutrapportage
CYBER NEWS

Fileless Kraken Malware maakt gebruik van de Windows-foutrapportageservice

door   |  Last Update:  |  0 Reacties  

Beveiligingsonderzoekers hebben zojuist een nieuwe bestandsloze aanval ontdekt die misbruik maakt van Microsoft Windows Error Reporting (WHO).

De hackgroep achter de zogenaamde Kraken-aanval moet nog worden geïdentificeerd.

Beveiligingsonderzoekers Hossein Jazi en Jérôme Segura zeggen dat de aanval afhankelijk is van malware die zich verstopt in WER-gebaseerde uitvoerbare bestanden. Op deze manier blijft het onopgemerkt zonder enige verdenking te wekken.




The Kraken Fileless Attack uitgelegd

De aanval wordt geïnitieerd door een verleidelijk phishing-document in een .ZIP-bestand, getiteld "Compensation manual.doc." Zoals te zien is bij veel phishing-aanvallen, het document beweert informatie te bevatten over vergoedingsrechten voor werknemers. Echter, als een medewerker van een organisatie het opent, ze zullen een kwaadaardige macro activeren. Het inschakelen van macro's is een van de oudste trucs in op phishing gebaseerde kwaadaardige campagnes.

In dit geval, de macro maakt gebruik van een aangepaste versie van de CactusTorch VBA-module die een bestandsloze aanval initieert via shellcode. CactusTorch downloadt vervolgens een .Net-gecompileerd binair bestand, genaamd Kraken.dll, die in het geheugen wordt geladen en wordt uitgevoerd via VBScript. De payload injecteert een ingesloten shellcode in het WerFault.exe-bestand, die is verbonden met de WER Microsoft-service. De shellcode doet ook een HTTP-verzoek aan een hardgecodeerd domein, misschien gedaan om extra malware te downloaden.

"Windows Foutrapportage (WHO) is een flexibele, op gebeurtenissen gebaseerde feedbackinfrastructuur die is ontworpen om informatie te verzamelen over de hardware- en softwareproblemen die Windows kan detecteren, rapporteer de informatie aan Microsoft, en gebruikers alle beschikbare oplossingen bieden," Microsoft zegt.

Gewoonlijk, wanneer een Windows-gebruiker WerFault.exe ziet draaien, ze denken misschien dat er een fout is opgetreden. Echter, in dit specifieke geval, de uitvoering van dit bestand betekent een gerichte malwareaanval. Het is opmerkelijk dat dezelfde techniek is toegepast door NetWire RAT en Cerber ransomware.

Andere kwaadaardige activiteiten die in deze bestandsloze campagne worden gezien, zijn onder meer code verduistering, DLL die in meerdere threads werkt, zoeken naar sandbox- en debugger-omgevingen, en het register scannen op beschikbare virtuele VMWare-machines of Oracle VirtualBox. Ook, of er analyse-activiteiten zijn gelokaliseerd, ze worden beëindigd.

Onbekende aanvallers zitten achter de bestandsloze aanvallen van Kraken

Omdat de hardgecodeerde doel-URL van de malware werd verwijderd terwijl de onderzoekers bezig waren met de analyse, het is momenteel onmogelijk om de aanval toe te schrijven aan een bepaalde dreigingsgroep. Echter, sommige elementen van de Kraken-aanval doen denken aan OceanLotus, een Vietnamese APT-groep.

De OceanLotus-malware i was gericht op het infecteren van specifieke netwerken in gerichte aanvalscampagnes. Het criminele collectief erachter voert campagnes tegen zowel bedrijven als overheidsinstanties in Azië: Laos, Cambodja, Vietnam, en de Filippijnen. Wat is bekend over deze specifieke aanvallen is dat ze worden georkestreerd door een zeer ervaren hacking groep.

Waarom bestandsloze malware?

Het idee erachter fileless malware is simpel: als instrumenten die reeds bestaan ​​op een apparaat, zoals powershell.exe, om de doelstellingen van een aanvaller te vervullen, waarom dan vallen aangepaste instrumenten die kunnen worden gemarkeerd als malware? Als een cybercrimineel over een proces kan nemen, run code in zijn geheugen, en gebruik die code om instrumenten die al op een apparaat zijn te bellen, de aanval wordt stealthy en bijna onmogelijk op te sporen.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Kraken verwijderen Cryptor v2.2 Ransomware In dit artikel worden de problemen uitgelegd die optreden in het geval van ...
  2. Lock.onion Files Virus (KRAKEN Cryptor) - Verwijder + Data herstellen Dit artikel is gemaakt om uit te leggen wat...
  3. Kraken Virus - Verwijder en herstel .kraken gecodeerde bestanden This article aims to help you learn how to remove...
  4. Kraken Ransomware en Fallout Exploit Kit gebruikt in grootschalige aanvallen The Kraken ransomware is one of the latest virus threats...
  5. Kraken Cryptor v2.0.7 Ransomware - Hoe het te verwijderen Dit artikel is gemaakt om uit te leggen wat...
  6. JS_PLOWMET Fileless Windows Malware laat geen sporen van inbraak As cybercriminals become progressively sophisticated and innovative in their criminal...
  7. SockDetour Fileless Backdoor richt zich op Amerikaanse defensie-aannemers Beveiligingsonderzoekers hebben een nieuwe geavanceerde campagne voor persistente dreigingen gedetecteerd, welke...
  8. Fileless Malware Plagen 140 banken Across 40 landen Eerder in verband met natie gesponsorde aanvallen zoals de Stuxnet worm, fileless...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens