De exploitanten van TrickBot Trojan hebben wederom bijgewerkt haar kwaadaardige code, en het is nu in staat om gebruik te maken van een nieuwe Windows 10 UAC bypass. Door dit, de Trojan is in staat om zelf uitvoeren met verhoogde privileges zonder het weergeven van een User Account Control prompt.
Wat is User Account Control (UAC)?
Volgens Microsoft's documentatie, Gebruikersaccount controle (UAC) is een fundamenteel onderdeel van de algehele veiligheid visie van Microsoft's. UAC helpt het inperken van de gevolgen van malware.
Elke app die beheerdersrechten vereist moeten vragen om toestemming. De UAC geeft een prompt elke keer dat een dergelijk programma wordt uitgevoerd met beheerdersrechten.
Op vertoon van de prompt, de ingelogde gebruiker wordt gevraagd of ze willen het programma om make veranderingen mogelijk te maken. Als de genoemde programma verdacht is of niet herkend, de gebruiker kan voorkomen dat het programma wordt uitgevoerd. De UAC bypass is aanwezig in legitieme Windows-programma's die worden gebruikt door het besturingssysteem naar andere programma's te starten. Echter, aangezien deze programma's niet zijn geclassificeerd als een hoge prioriteit aan Microsoft, het zou veel tijd in beslag nemen voor bypasses worden vastgesteld.
Zoals voor malware, dreiging acteurs vaak gebruiker een UAC bypass om hun malware code met beheerdersrechten draaien. Deze, natuurlijk, wordt gedaan zonder dat de UAC-prompt om de gebruiker te waarschuwen.
Een van de nieuwste malware om deze functie te benutten is TrickBot. Beveiliging onderzoekers meldde onlangs dat TrickBot is begonnen met het gebruik van een Windows 10 UAC bypass dat de rechtmatige fodhelper.exe programma gebruikt in Windows.
Nu, het TrickBot team is overgestapt op een andere UAC bypass met behulp van de WSreset.exe programma.
Zoals uitgelegd door Bleeping Computer, wanneer het wordt uitgevoerd, Dit programma zal een commando te lezen van de standaard waarde van de HKEY_CURRENT_USER Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell geopend command-toets, en zal nadien uitgevoerd. Bij het uitvoeren van het commando, geen UAC weergegeven voor de gebruiker, en zij zullen niet weten dat een programma is uitgevoerd.
Helaas, TrickBot operators zijn nu gebruik te maken van deze bypass UAC aan de Trojan te starten met verhoogde bevoegdheden zonder enige waarschuwing de ingelogde gebruiker via de prompt. Hierdoor kan de Trojan te lopen geruisloos op de achtergrond en het vuile werk in het geheim te doen.
Volgens de cyberveiligheid onderzoekers van Morphisec, "de laatste stap in deze bypass is WSReset.exe voeren, die zal leiden tot Trickbot te lopen met verhoogde privileges zonder UAC-prompt. Trickbot doet dat met behulp van ‘ShellExecuteExW’ API. Dit laatste uitvoerbaar maakt Trickbot om zijn lading te leveren op werkstations en andere eindpunten."
Meer over TrickBot Trojan
TrickBot is een banking Trojan die al sinds is geweest 2016. De dreiging die ervan uitgaat is vrij rampzalig als het is ontworpen om online bankieren en andere te stelen, cryptogeld portefeuilles, browser informatie. 2019 varianten van de Trojan werden gebruikt tegen gebruikers van T-Mobile, Sprint, Verizon onder anderen. De infecties werden uitgevoerd door kwaadaardige websites die de gebruikers van de diensten die worden doorgestuurd naar nep landing pages uitgevoerd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: