Os operadores de TrickBot Trojan, mais uma vez atualizou seu código malicioso, e agora é capaz de alavancar um novo Windows 10 UAC desvio. Através disso, o cavalo de Tróia é capaz de executar-se com privilégios elevados sem exibir um prompt de Controle de Conta de Usuário.
O que é o Controle de Conta de Usuário (UAC)?
De acordo com a Microsoft de documentação, Controle de Conta de Usuário (UAC) é um componente fundamental da visão geral de segurança da Microsoft. UAC ajuda a atenuar o impacto de malware.
Cada aplicativo que requer acesso de administrador deve solicitar o consentimento. As UAC exibe um aviso cada vez que tal programa A corre com privilégios de administrador.
Após a mostrar o prompt, o usuário conectado é perguntado se desejam permitir que o programa as mudanças make. Se o referido programa é suspeito ou não reconhecido, o usuário pode impedir que o programa seja executado. O bypass UAC está presente em programas legítimos do Windows usado pelo sistema operacional para lançar outros programas. Contudo, como estes programas não são classificados como de alta prioridade para a Microsoft, que pode demorar muito tempo para bypasses a fixar.
Quanto malwares, atores de ameaças, muitas vezes de usuários de um bypass UAC para executar o seu código de malware com privilégios de administrador. este, claro, é feito sem mostrar o UAC prompt para alertar o usuário.
Um dos mais recentes de malware para aproveitar esse recurso é TrickBot. Os pesquisadores de segurança relatou recentemente que TrickBot começou utilizando um Windows 10 UAC de bypass que usa o programa fodhelper.exe legítima no Windows.
Agora, a equipe TrickBot mudou para um UAC diferente desvio usando o programa WSreset.exe.
Como explicado por Bleeping Computer, quando executado, este programa irá ler um comando a partir do valor padrão dos HKCU Software Classes open tecla de comando AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell , e, em seguida, executá-la. Ao executar o comando, linha não UAC é mostrada para o utilizador, e eles não vão saber que um programa foi executado.
Infelizmente, operadores TrickBot agora estão explorando este desvio UAC para lançar o Trojan com privilégios elevados sem alertar o usuário conectado via o prompt. Isso permite que o cavalo de Tróia para ser executado silenciosamente em segundo plano e fazer o seu trabalho sujo secretamente.
De acordo com pesquisadores de segurança cibernética de Morphisec, “o passo final este desvio é executar WSReset.exe, o que fará com Trickbot para ser executado com privilégios elevados sem UAC prompt de. Trickbot faz isso usando a API ‘ShellExecuteExW’. Este executável final permite Trickbot para entregar sua carga útil para estações de trabalho e outros pontos de extremidade.”
Mais sobre TrickBot Trojan
TrickBot é um Trojan bancário, que tem sido em torno desde 2016. A ameaça que representa é bastante desastroso, pois foi projetado para roubar banco on-line e outras credenciais, carteiras criptomoeda, informações do navegador. 2019 variantes do Trojan foram usados contra usuários de T-Mobile, arrancada, Verizon entre outros. As infecções foram realizadas por sites mal-intencionados que redirecionadas usuários dos serviços para as páginas de destino falsos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: