Hackers exploram recurso de falhas do Windows para atacar dispositivo

0
18


Um grupo de hackers ainda no identificado desenvolveu uma tcnica de ataque sem arquivo que se aproveita do recurso Windows Error Reporting (WER), da Microsoft, para invadir dispositivos.

Segundo Hossein Jazi e Jrme Segura, pesquisadores de cibersegurana da empresa Malwarebytes, o vetor de ataque depende do malware que se disfara em executveis baseados em WER para evitar suspeitas. O ataque, intitulado Kraken, embora no indito, est embutido nessa nova tcnica para fazer ainda mais vtimas.

O documento de phishing utilizado para implantar o malware foi encontrado pela equipe de cibersegurana empacotado em um arquivo .ZIP chamado “Compensation manual.doc” que, primeira vista, parece conter informaes relacionadas aos direitos de compensao do trabalhador, mas, quando aberto, pode acionar uma macro maliciosa.

Essa macro, que uma regra ou padro que especifica como uma certa sequncia de entrada deve ser mapeada para uma substituio de sequncia de sada, utiliza uma verso customizada do mdulo CactusTorch VBA, ferramenta que pode ser executada no Excel, para lanar um ataque sem arquivo, provavelmente por meio de um shellcode, cdigo executado na explorao de vulnerabilidades.

Reprodu

Shellcodes so pequenos comandos utilizados para a explorao de vulnerabilidades. Imagem:Profit_Image/Shutterstock

O mdulo CactusTorch capaz de carregar um arquivo binrio compilado .Net chamado “Kraken.dll” na memria para execut-lo via VBScript. Essa carga injeta um shellcode embutido no WerFault.exe, um arquivo conectado ao WER e utilizado pela Microsoft para rastrear e corrigir erros do sistema operacional.

“Esse servio de relatrios, WerFault.exe, geralmente invocado quando ocorre um erro relacionado ao sistema operacional, recursos do Windows ou aplicativos”, explicou a Malwarebytes. “Quando as vtimas veem o WerFault.exe em execuo em suas mquinas, elas provavelmente presumem que ocorreu algum erro, embora, neste caso, tenham sido realmente alvos de um ataque”, acrescentou.

Os operadores do Kraken fazem o acompanhamento com vrios mtodos antianlise. Os desenvolvedores programaram o cdigo malicioso para encerrar se forem encontrados indicadores de atividades de anlise, como a que ocorreu para essa pesquisa.

Via: ZDNet





Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here