Veiligheid onderzoekers hebben een nieuwe kwaadaardige aanval die bekende exploits houdt met het doel om beveiligingsoplossingen te omzeilen blootgelegd. De campagne is het verspreiden van informatie dieven, of stukken van geavanceerde spyware. Specifieker, aanvallers verspreiden van een geavanceerd informatie stelen Trojan bekend als Agent Tesla, evenals de Loki informatie stealer.
Agent Tesla kwaadaardige campagnes – bijgewerkt tot augustus 2019
Volgens de nieuwe gegevens, de Agent Tesla-malware is momenteel in dienst van steganografie in zijn nieuwste malspamcampagnes. Steganografie is de praktijk van het verbergen van een bestand, bericht, beeld, of video in een ander bestand, bericht, beeld, of video. In feite, steganografie is een oude truc bij het verspreiden van malware, en het betekent letterlijk het verbergen van code in een gewone afbeelding die in de meeste gevallen niet kan worden gecontroleerd op malware.
Technische gegevens over de Sophisticated Attack, Evading VAN Detection
Beveiliging onderzoekers van Cisco Talos gedetecteerd "een hoogst verdacht document dat niet werd opgepikt door gemeenschappelijke antivirusoplossingen".
De aanvallers achter deze nieuwe vorm van aanval hebben ingezet een bekende exploit keten. Echter, het is aangepast op een zodanige manier dat het onopgemerkt door beveiligingsoplossingen.
Het Agent Tesla Trojan is ontworpen om login-gegevens te stelen van verschillende stukken van software, zoals Google Chrome, Mozilla Firefox, Microsoft Outlook, onder andere. De Trojan kan ook screenshots te maken, opnemen webcams, en laat aanvallers om aanvullende malware op geïnfecteerde systemen te installeren, aldus de onderzoekers.
De Trojan is ook geschikt voor het uitvoeren van andere schadelijke activiteiten zoals het waarnemen en verzamelen toetsenbordsignalen, klembord, het nemen van screenshots, en exfiltrating verzamelde gevoelige informatie. Echter, de Agent Tesla is niet het enige stukje malware verspreid in deze campagne - Loki, andere informatie stealer, is eveneens gedaald op machines slachtoffers.
Twee Microsoft Word Exploits Misbruikt: CVE-2017-0199 en CVE-2017-11.882
Wat betreft de exploits die worden gebruikt door de tegenstanders – twee publieke exploits voor Microsoft Word kwetsbaarheden CVE-2017-0199 en CVE-2017-11.882 worden gebruikt in de kwaadaardige aanvallen scenario.
De CVE-2017-0199 exploit, in het bijzonder, was gebruikt bij aanslagen in 2017 wanneer dreiging acteurs misbruikt Microsoft Office-bestanden die naar verschillende malware stammen leveren. Het unieke van de incidenten is dat ze een nieuwe strategie wordt gebruikt door gebruik te maken van een relatief nieuwe functie die is geïntegreerd in de Microsoft Office-suite van vorig jaar.
CVE-2017-11.882 is een andere bekende Microsoft Office te benutten die werd ontdekt in kwaadaardige campagnes in september van dit jaar, waarbij leverden de CobInt Trojan.
De .DOCX File en het RTF-bestand
De huidige campagne, ontdekt en geanalyseerd door Cisco Talos, begint met het downloaden van een schadelijke Microsoft .DOCX bestand. Het bestand heeft instructies om een bepaalde downloaden RTF-bestand uit het document. Dit is de activiteit die wordt onopgemerkt door antivirus producten.
Volgens de onderzoekers:
Op het moment dat het bestand geanalyseerd, het had bijna geen detecties op de multi-engine antivirus scanning website VirusTotal. Slechts twee van 58 antivirusprogramma's gevonden iets verdachts. De programma's die dit monster gemarkeerd waren slechts waarschuwing over een ten onrechte geformatteerd RTF-bestand.
De Rich Text Format, of RTF voor de korte, is een eigen document bestandsformaat met gepubliceerde specificatie is ontwikkeld door Microsoft Corporation uit 1987 tot 2008 voor cross-platform document uitwisseling met Microsoft-producten.
RTF-bestanden ondersteunen geen macrotaal, maar ze ondersteunen Microsoft Object Linking and Embedding (NO) objecten en Macintosh Edition Manager abonnee objecten via de ‘ object’ stuurwoord. De gebruiker kan koppelen of insluiten van een voorwerp hetzelfde of verschillend formaat naar het RTF document.
Met andere woorden, is het mogelijk voor gebruikers om te koppelen of insluiten voorwerpen in het RTF-bestand, maar verwarring moet worden toegevoegd. Ook moet worden opgemerkt dat alles wat het RTF-bestand niet herkent wordt meestal genegeerd.
De onderzoekers waren niet in staat om volledig te begrijpen hoe de dreiging acteur veranderde de handmatig te exploiteren, of als ze gebruik gemaakt van een instrument om de commandoregelcode produceren. “Hoe dan ook, dit toont aan dat de acteur of hun instrumenten hebben [de] vermogen om de assembler code op zodanige wijze dat de verkregen opcode bytes er heel anders wijzigen, maar nog steeds gebruik maken van de dezelfde kwetsbaarheid.”
Security experts verwachten ook om te zien deze nieuwe techniek in andere kwaadaardige campagnes leveren van andere stammen van malware.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: