CYBER NEWS

novo Windows 10 UAC Bypass usados ​​pelo TrickBot seja executado com privilégios de administrador

Os operadores de TrickBot Trojan, mais uma vez atualizou seu código malicioso, e agora é capaz de alavancar um novo Windows 10 UAC desvio. Através disso, o cavalo de Tróia é capaz de executar-se com privilégios elevados sem exibir um prompt de Controle de Conta de Usuário.




O que é o Controle de Conta de Usuário (UAC)?

De acordo com a Microsoft de documentação, Controle de Conta de Usuário (UAC) é um componente fundamental da visão geral de segurança da Microsoft. UAC ajuda a atenuar o impacto de malware.

Cada aplicativo que requer acesso de administrador deve solicitar o consentimento. As UAC exibe um aviso cada vez que tal programa A corre com privilégios de administrador.

Após a mostrar o prompt, o usuário conectado é perguntado se desejam permitir que o programa as mudanças make. Se o referido programa é suspeito ou não reconhecido, o usuário pode impedir que o programa seja executado. O bypass UAC está presente em programas legítimos do Windows usado pelo sistema operacional para lançar outros programas. Contudo, como estes programas não são classificados como de alta prioridade para a Microsoft, que pode demorar muito tempo para bypasses a fixar.

Quanto malwares, atores de ameaças, muitas vezes de usuários de um bypass UAC para executar o seu código de malware com privilégios de administrador. este, claro, é feito sem mostrar o UAC prompt para alertar o usuário.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/trickbot-trojan-windows-defender/”] TrickBot Trojan última variante resistente a Desativar o Windows Defender

Um dos mais recentes de malware para aproveitar esse recurso é TrickBot. Os pesquisadores de segurança relatou recentemente que TrickBot começou utilizando um Windows 10 UAC de bypass que usa o programa fodhelper.exe legítima no Windows.

Agora, a equipe TrickBot mudou para um UAC diferente desvio usando o programa WSreset.exe.

Como explicado por Bleeping Computer, quando executado, este programa irá ler um comando a partir do valor padrão dos HKCU Software Classes open tecla de comando AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2 Shell , e, em seguida, executá-la. Ao executar o comando, linha não UAC é mostrada para o utilizador, e eles não vão saber que um programa foi executado.

Infelizmente, operadores TrickBot agora estão explorando este desvio UAC para lançar o Trojan com privilégios elevados sem alertar o usuário conectado via o prompt. Isso permite que o cavalo de Tróia para ser executado silenciosamente em segundo plano e fazer o seu trabalho sujo secretamente.

De acordo com pesquisadores de segurança cibernética de Morphisec, “o passo final este desvio é executar WSReset.exe, o que fará com Trickbot para ser executado com privilégios elevados sem UAC prompt de. Trickbot faz isso usando a API ‘ShellExecuteExW’. Este executável final permite Trickbot para entregar sua carga útil para estações de trabalho e outros pontos de extremidade.”




Mais sobre TrickBot Trojan

TrickBot é um Trojan bancário, que tem sido em torno desde 2016. A ameaça que representa é bastante desastroso, pois foi projetado para roubar banco on-line e outras credenciais, carteiras criptomoeda, informações do navegador. 2019 variantes do Trojan foram usados ​​contra usuários de T-Mobile, arrancada, Verizon entre outros. As infecções foram realizadas por sites mal-intencionados que redirecionadas usuários dos serviços para as páginas de destino falsos.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...