Pesquisadores da Dell relatam sobre um novo malware, apelidada de chave do esqueleto, que pode ignorar a autenticação em sistemas Active Directory.
A equipe da Dell diz que a Skeleton Key permite que os invasores evitem a detecção por sistemas AD com autenticação de fator único. Esses sistemas dependem apenas de senhas. Os cibercriminosos podem escolher qualquer senha e fazer login como qualquer usuário para fazer o que quiserem online.
A chave mestra foi detectada pela primeira vez em uma rede que usa senhas para acessar contas de e-mail e serviços VPN. Uma vez ativo como um patch na memória no controlador de domínio AD do sistema, o malware dá aos invasores acesso ilimitado aos serviços. Os usuários podem continuar com suas atividades sem estar cientes da presença do malware no sistema.
Os pesquisadores relatam que tratar os atores que têm acesso físico à máquina infectada podem fazer o login e desbloquear sistemas que autenticam os usuários de PC contra os controladores de domínio AD infectados.
Dessa forma, os cibercriminosos podem se passar por qualquer usuário, sem chamar a atenção para suas atividades ou restringir o acesso de usuários legítimos. O ataque é tudo menos sofisticado, mas pode ser usado para se passar por gerente da empresa, um diretor de RH, ou basicamente como alguém que o invasor deseja personificar sem levantar suspeitas. Mais importante, os criminosos podem assumir informações confidenciais.
Skeleton Key não transmite tráfego de rede, o que torna difícil ser detectado por sistemas de prevenção de intrusão IDS / IPS.
A Skeleton Key tem outro ponto fraco - há uma necessidade constante de reimplantação para operar cada vez que o controlador de domínio é iniciado. Os pesquisadores acreditam que o malware é compatível apenas com as versões de 64 bits do Windows.
Os pesquisadores dizem que em algum ponto os agentes da ameaça usaram outro malware de acesso remoto já ativado na rede da vítima para reimplantar a chave mestra nos controladores de domínio.
Para prevenir uma infecção de chave mestra, especialistas recomendam o uso de autenticação multifator.
Spy Hunter GRÁTIS scanner somente detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware. Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta
