Μια παλιά παράκαμψη του UAC (User Account Control) των Windows, η οποία ανακαλύφθηκε πριν από δύο χρόνια, χρησιμοποιείται τώρα σε μια νέα εκστρατεία phishing με στόχο οργανισμούς που βρίσκονται σε χώρες της Ανατολικής Ευρώπης. Αυτή η επιχείρηση χρησιμοποιεί το κακόβουλο λογισμικό Remcos RAT για να διεισδύσει στα δίκτυα των θυμάτων της.
Δείτε επίσης: Οι mobile phishing επιθέσεις έσπασαν κάθε ρεκόρ το 2022
Παρά το γεγονός ότι έχει αναγνωριστεί από το 2020, η χρήση ψεύτικων αξιόπιστων καταλόγων για την παράκαμψη του User Account Control των Windows εξακολουθεί να αποτελεί μια βιώσιμη και αποτελεσματική επίθεση σήμερα. Η ερευνητική ομάδα της SentinelOne διεξήγαγε μια ολοκληρωμένη μελέτη σχετικά με την πρόσφατη εκστρατεία της Remcos και αποκάλυψε τα ευρήματά της σε μια διαφωτιστική έκθεση που κυκλοφόρησε πρόσφατα.
Τα phishing emails αποστέλλονται από τομείς που φαίνεται να έχουν την ίδια προέλευση με τον προοριζόμενο παραλήπτη και συχνά μεταμφιέζονται σε τιμολόγια, προσφορές ή άλλα οικονομικά έγγραφα. Τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται περιέχουν μόνο τις απαραίτητες πληροφορίες για να κατευθύνουν την προσοχή του παραλήπτη προς ένα επισυναπτόμενο αρχείο .tar.lz, το οποίο περιέχει ένα εκτελέσιμο αρχείο του DBatLoader.
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Επιλέγοντας έναν σπάνιο τύπο αρχείου, οι επιτιθέμενοι μπορούν να μειώσουν σημαντικά την πιθανότητα τα θύματα να έχουν επιτυχή πρόσβαση στο συνημμένο τους αρχείο, όμως ταυτόχρονα παρακάμπτουν τα προγράμματα προστασίας από ιούς και τις εφαρμογές ασφαλείας ηλεκτρονικού ταχυδρομείου.
Για να εξαπατήσει το θύμα ώστε να το ανοίξει, το ωφέλιμο φορτίο του πρώτου σταδίου του κακόβουλου φορτωτή μεταμφιέζεται σε έγγραφο του Microsoft Office, του LibreOffice ή PDF και χρησιμοποιεί διπλές επεκτάσεις και εικονίδια εφαρμογών.
Όταν τεθεί σε λειτουργία ο φορτωτής κακόβουλου λογισμικού, ένα ωφέλιμο φορτίο δεύτερης φάσης θα ανακτηθεί από μια υπηρεσία αποθήκευσης στο διαδίκτυο, όπως το Microsoft OneDrive ή το Google Drive.
Η Sentinel One αποκάλυψε ότι μια υπηρεσία cloud χρησιμοποιήθηκε για τη φιλοξενία του DBatLoader για περισσότερες από 30 ημέρες, αν και είναι άγνωστο αν οι ένοχοι βασίστηκαν σε δικό τους λογαριασμό ή σε έναν που είχαν διεισδύσει.
Δείτε ακόμα: NameCheap email παραβιάστηκε για να στείλει phishing μηνύματα Metamask και DHL
Για να παρακάμψει το UAC των Windows, το DBatLoader εκμεταλλεύεται μια μέθοδο πριν από τη φόρτωση του Remcos RAT, δημιουργώντας και εκτελώντας ένα σενάριο δέσμης ενεργειών των Windows. Ο ειδικός ασφαλείας Daniel Gebert αποκάλυψε για πρώτη φορά μια προσέγγιση για τα Windows 10 που εφαρμόζει πειρατεία DLL και παραποιημένους αξιόπιστους καταλόγους για την παράκαμψη του UAC χωρίς προειδοποίηση του χρήστη, επιτρέποντας την εκτέλεση κακόβουλου κώδικα.
Η Microsoft εισήγαγε το UAC, ένα σύστημα ασφαλείας για τα Windows Vista και άνω, το οποίο απαιτεί από τους χρήστες να εξουσιοδοτούν την εκτέλεση εφαρμογών υψηλού κινδύνου.
Τα Windows είναι σχεδιασμένα να εμπιστεύονται αυτόματα ορισμένους φακέλους, όπως ο C:\Windows\System32\. Ως αποτέλεσμα, το σύστημα δεν θα εμφανίζει προτροπή UAC όταν εκτελούνται εκτελέσιμα προγράμματα από αυτές τις τοποθεσίες.
Ένας εικονικός κατάλογος είναι ένας προσομοιωμένος φάκελος με ένα κενό στο τέλος. Για παράδειγμα, το “C:\Windows\System32” είναι ένα αυθεντικό αρχείο των Windows και θεωρείται ασφαλές στα αρχεία του συστήματος. Η οπτική αναπαράσταση ενός εικονικού καταλόγου θα ήταν “C:\Windows \System32“, με ένα πρόσθετο κενό μετά το C:\Windows\.
Η πρόκληση είναι ότι μερικά προγράμματα των Windows, όπως η Εξερεύνηση αρχείων, παρερμηνεύουν το “C:\Windows” και το “C:\Windows\ ” ως τον ίδιο κατάλογο, γεγονός που κατά συνέπεια οδηγεί το λειτουργικό σύστημα να πιστεύει ότι το C:\Windows \System32 είναι ένας αυθεντικός φάκελος και ότι τα αρχεία του θα πρέπει να ανεβαίνουν αυτόματα χωρίς να δημιουργείται κάποια προτροπή UAC.
Το σενάριο του DBatLoader κατασκευάζει αξιόπιστους καταλόγους με παρόμοιο τρόπο, δημιουργώντας ένα φάκελο “C:\Windows \System32” και τοποθετώντας μέσα σε αυτόν νόμιμα εκτελέσιμα (“easinvoker.exe”) καθώς και κακόβουλα DLL (“netutils.dll”).
Δείτε επίσης: Μια επίθεση phishing μπορεί να κοστίσει στην επιχείρηση 1 εκατ. $
Για να διασφαλιστεί η μακροχρόνια διείσδυση, ο φορτωτής κακόβουλου λογισμικού προσθέτει μια κακόβουλη δέσμη ενεργειών γνωστή ως “KDECO.bat” στη λίστα αποκλεισμού του Microsoft Defender και στη συνέχεια δημιουργεί ένα νέο κλειδί μητρώου για τη διατήρηση του Remcos.
Αφού εκτελέσει την έγχυση διεργασιών, το Remcos είναι εξοπλισμένο για να καταγράφει πληκτρολογήσεις και στιγμιότυπα οθόνης με αξιοσημείωτη ακρίβεια.
Οι διαχειριστές πρέπει να προσέχουν για τυχόν ύποπτες δημιουργίες αρχείων ή εκτελέσεις διεργασιών συστήματος με κενά στο τέλος, ιδίως φακέλους που περιέχουν τη συμβολοσειρά “\Windows“. Η επαγρύπνηση είναι το κλειδί για την ασφάλεια των ευαίσθητων δεδομένων.