Ny teknik genbruger udnyttelse kæde for at holde Antivirus Silent

I en ny malware kampagne ændrede cyberkriminelle en kendt udnyttelseskæde for at skubbe Agent Tesla info stjæler uden at udløse detektion fra almindelige antivirusprodukter.

Cyberkriminelle etablerer en infrastruktur til at levere flere malware familier via to offentlige udbytter til Microsoft Word sårbarheder CVE-2017-0199 og CVE-2017-11882.

Bygget til at slippe en hale af malware

Ifølge analytikere fra Cisco Talos var kampagnen beregnet til at tabe mindst tre nyttelast: Agent Tesla, Loki og Gamarue. Alle er i stand til at stjæle informationer og de tre, kun Loki mangler fjernadgangsfunktioner.

Angrebet starter med en email, der indeholder et Word-dokument (DOCX), der indeholder rutiner til download og åbning af en RTF-fil, som leverer den endelige nyttelast. Det er denne RTF, der passerer ubemærket.

"Kun to ud af 58 antivirusprogrammer fandt noget mistænkeligt. De programmer, der markerede denne prøve var kun advarsel om en fejlagtigt formateret RTF-fil. AhnLab-V3 markerede det for 'RTF / Malform-A.Gen', mens Zoner sagde, at det sandsynligvis blev markeret for 'RTFBadVersion', "skriver forskerne i en indberette i dag.

Ændringer for antivirus unddragelse

Forskerne siger, at de ændringer, der blev foretaget i udnyttelseskæden, tillod, at de dokumenter, der indeholder rutinerne til download af malware, slettes uopdaget af regelmæssige antivirusløsninger.

Stødet af den nyttelastende drill er afhængig af RTF-filformatets særlige forhold, som understøtter indlejring af objekter via OLE (Objektforbindelse og indlejring) og bruger et stort antal kontrolord til at definere det indhold, det indeholder.

Hertil kommer, at almindelige RTF-parsere typisk ignorerer det, de ikke kender, og resultatet er den perfekte kombination til at gemme udnyttelseskoden. Under dette scenario behøver brugerne ikke at ændre indstillinger for Microsoft Word eller klikke på noget for at udløse udnyttelsen.

RTF med kontrolord for OLE objekter

Forvirring inde i RTF-filens struktur er ikke det eneste, der hjalp dokumentet til at blive uopdaget. Dybere analyse viste, at angriberen ændrede OLE Object headerens værdier.

Efter overskriften tilføjede de data om, hvad der lignede et skrifttags-tag, men det viste sig at udnytte CVE-2017-11882-hukommelseskorruptionsproblemet i Microsoft Office.

Ændret header info

Forskerne siger, at teknikken er farlig, uanset om ændringerne blev udført manuelt eller ved hjælp af et værktøj. Ændringerne er på et lavere niveau og gør alt ser anderledes ud, men det bruger udnyttelseskode, der har været set i andre kampagner.

Malware kapaciteter

Talos-etiketter Agent Tesla som en "sofistikeret informationsstalende trojan", markedsført som en juridisk keylogging utility. Forskerne spørgsmålstegn imidlertid værktøjets legitime funktioner og siger, at de har adgangskodefunktioner til 25-almindelige applikationer som populære webbrowsere, e-mail- og FTP-klienter.

Loki malware falder strengt ind i info-stjæler kategorien, ser ud til at gribe adgangskoder. Det annonceres jævnligt som sådan, og dets beskrivelse tilføjer, at det også kan målrette cryptocurrency-tegnebøger.

Hvad angår gamarue-familien af ​​trusler, har den en track record i at give botnet herders med nye bots. Det er en orm, så den spredes hurtigt til sårbare systemer, hvilket giver operatøren adgang til dem. Selvom det ikke er dets speciale, kan Gamarue bruges til at stjæle følsomme oplysninger.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.