CYBER NEWS

Nieuwe Windows 10 UAC Bypass Gebruikt door TrickBot Run met Beheerdersrechten

De exploitanten van TrickBot Trojan hebben wederom bijgewerkt haar kwaadaardige code, en het is nu in staat om gebruik te maken van een nieuwe Windows 10 UAC bypass. Door dit, de Trojan is in staat om zelf uitvoeren met verhoogde privileges zonder het weergeven van een User Account Control prompt.




Wat is User Account Control (UAC)?

Volgens Microsoft's documentatie, Gebruikersaccount controle (UAC) is een fundamenteel onderdeel van de algehele veiligheid visie van Microsoft's. UAC helpt het inperken van de gevolgen van malware.

Elke app die beheerdersrechten vereist moeten vragen om toestemming. De UAC geeft een prompt elke keer dat een dergelijk programma wordt uitgevoerd met beheerdersrechten.

Op vertoon van de prompt, de ingelogde gebruiker wordt gevraagd of ze willen het programma om make veranderingen mogelijk te maken. Als de genoemde programma verdacht is of niet herkend, de gebruiker kan voorkomen dat het programma wordt uitgevoerd. De UAC bypass is aanwezig in legitieme Windows-programma's die worden gebruikt door het besturingssysteem naar andere programma's te starten. Echter, aangezien deze programma's niet zijn geclassificeerd als een hoge prioriteit aan Microsoft, het zou veel tijd in beslag nemen voor bypasses worden vastgesteld.

Zoals voor malware, dreiging acteurs vaak gebruiker een UAC bypass om hun malware code met beheerdersrechten draaien. Deze, natuurlijk, wordt gedaan zonder dat de UAC-prompt om de gebruiker te waarschuwen.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/trickbot-trojan-windows-defender/”] TrickBot Trojan Laatste Variant Veerkrachtige naar Windows Defender uitschakelen

Een van de nieuwste malware om deze functie te benutten is TrickBot. Beveiliging onderzoekers meldde onlangs dat TrickBot is begonnen met het gebruik van een Windows 10 UAC bypass dat de rechtmatige fodhelper.exe programma gebruikt in Windows.

Nu, het TrickBot team is overgestapt op een andere UAC bypass met behulp van de WSreset.exe programma.

Zoals uitgelegd door Bleeping Computer, wanneer het wordt uitgevoerd, Dit programma zal een commando te lezen van de standaard waarde van de HKEY_CURRENT_USER Software Classes AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell geopend command-toets, en zal nadien uitgevoerd. Bij het uitvoeren van het commando, geen UAC weergegeven voor de gebruiker, en zij zullen niet weten dat een programma is uitgevoerd.

Helaas, TrickBot operators zijn nu gebruik te maken van deze bypass UAC aan de Trojan te starten met verhoogde bevoegdheden zonder enige waarschuwing de ingelogde gebruiker via de prompt. Hierdoor kan de Trojan te lopen geruisloos op de achtergrond en het vuile werk in het geheim te doen.

Volgens de cyberveiligheid onderzoekers van Morphisec, "de laatste stap in deze bypass is WSReset.exe voeren, die zal leiden tot Trickbot te lopen met verhoogde privileges zonder UAC-prompt. Trickbot doet dat met behulp van ‘ShellExecuteExW’ API. Dit laatste uitvoerbaar maakt Trickbot om zijn lading te leveren op werkstations en andere eindpunten."




Meer over TrickBot Trojan

TrickBot is een banking Trojan die al sinds is geweest 2016. De dreiging die ervan uitgaat is vrij rampzalig als het is ontworpen om online bankieren en andere te stelen, cryptogeld portefeuilles, browser informatie. 2019 varianten van de Trojan werden gebruikt tegen gebruikers van T-Mobile, Sprint, Verizon onder anderen. De infecties werden uitgevoerd door kwaadaardige websites die de gebruikers van de diensten die worden doorgestuurd naar nep landing pages uitgevoerd.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...