Nieuwe malware Campaign ontwijkt AV Detection, downloads Spyware
NIEUWS

Nieuwe Schadelijke Campaign ontwijkt AV Detection, downloads Spyware

Veiligheid onderzoekers hebben een nieuwe kwaadaardige aanval die bekende exploits houdt met het doel om beveiligingsoplossingen te omzeilen blootgelegd. De campagne is het verspreiden van informatie dieven, of stukken van geavanceerde spyware. Specifieker, aanvallers verspreiden van een geavanceerd informatie stelen Trojan bekend als Agent Tesla, evenals de Loki informatie stealer.



Technische gegevens over de Sophisticated Attack, Evading VAN Detection

Beveiliging onderzoekers van Cisco Talos gedetecteerd "een hoogst verdacht document dat niet werd opgepikt door gemeenschappelijke antivirusoplossingen".

De aanvallers achter deze nieuwe vorm van aanval hebben ingezet een bekende exploit keten. Echter, het is aangepast op een zodanige manier dat het onopgemerkt door beveiligingsoplossingen.

Het Agent Tesla Trojan is ontworpen om login-gegevens te stelen van verschillende stukken van software, zoals Google Chrome, Mozilla Firefox, Microsoft Outlook, onder andere. De Trojan kan ook screenshots te maken, opnemen webcams, en laat aanvallers om aanvullende malware op geïnfecteerde systemen te installeren, aldus de onderzoekers.

De Trojan is ook geschikt voor het uitvoeren van andere schadelijke activiteiten zoals het waarnemen en verzamelen toetsenbordsignalen, klembord, het nemen van screenshots, en exfiltrating verzamelde gevoelige informatie. Echter, de Agent Tesla is niet het enige stukje malware verspreid in deze campagne - Loki, andere informatie stealer, is eveneens gedaald op machines slachtoffers.

Twee Microsoft Word Exploits Misbruikt: CVE-2017-0199 en CVE-2017-11.882

Wat betreft de exploits die worden gebruikt door de tegenstanders – twee publieke exploits voor Microsoft Word kwetsbaarheden CVE-2017-0199 en CVE-2017-11.882 worden gebruikt in de kwaadaardige aanvallen scenario.

De CVE-2017-0199 exploit, in het bijzonder, was gebruikt bij aanslagen in 2017 wanneer dreiging acteurs misbruikt Microsoft Office-bestanden die naar verschillende malware stammen leveren. Het unieke van de incidenten is dat ze een nieuwe strategie wordt gebruikt door gebruik te maken van een relatief nieuwe functie die is geïntegreerd in de Microsoft Office-suite van vorig jaar.

CVE-2017-11.882 is een andere bekende Microsoft Office te benutten die werd ontdekt in kwaadaardige campagnes in september van dit jaar, waarbij leverden de CobInt Trojan.

De .DOCX File en het RTF-bestand

De huidige campagne, ontdekt en geanalyseerd door Cisco Talos, begint met het downloaden van een schadelijke Microsoft .DOCX bestand. Het bestand heeft instructies om een ​​bepaalde downloaden RTF-bestand uit het document. Dit is de activiteit die wordt onopgemerkt door antivirus producten.

Volgens de onderzoekers:

Op het moment dat het bestand geanalyseerd, het had bijna geen detecties op de multi-engine antivirus scanning website VirusTotal. Slechts twee van 58 antivirusprogramma's gevonden iets verdachts. De programma's die dit monster gemarkeerd waren slechts waarschuwing over een ten onrechte geformatteerd RTF-bestand.

De Rich Text Format, of RTF voor de korte, is een eigen document bestandsformaat met gepubliceerde specificatie is ontwikkeld door Microsoft Corporation uit 1987 tot 2008 voor cross-platform document uitwisseling met Microsoft-producten.

RTF-bestanden ondersteunen geen macrotaal, maar ze ondersteunen Microsoft Object Linking and Embedding (NO) objecten en Macintosh Edition Manager abonnee objecten via de ‘ object’ stuurwoord. De gebruiker kan koppelen of insluiten van een voorwerp hetzelfde of verschillend formaat naar het RTF document.

Met andere woorden, is het mogelijk voor gebruikers om te koppelen of insluiten voorwerpen in het RTF-bestand, maar verwarring moet worden toegevoegd. Ook moet worden opgemerkt dat alles wat het RTF-bestand niet herkent wordt meestal genegeerd.

De onderzoekers waren niet in staat om volledig te begrijpen hoe de dreiging acteur veranderde de handmatig te exploiteren, of als ze gebruik gemaakt van een instrument om de commandoregelcode produceren. “Hoe dan ook, dit toont aan dat de acteur of hun instrumenten hebben [de] vermogen om de assembler code op zodanige wijze dat de verkregen opcode bytes er heel anders wijzigen, maar nog steeds gebruik maken van de dezelfde kwetsbaarheid.”

Security experts verwachten ook om te zien deze nieuwe techniek in andere kwaadaardige campagnes leveren van andere stammen van malware.

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen!

Meer berichten

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...