Σάββατο, 27 Φεβρουαρίου, 16:51
Αρχική security Malware μόλυνση των χρηστών μέσω του Windows Troubleshooting Platform

Malware μόλυνση των χρηστών μέσω του Windows Troubleshooting Platform

Το Windows Troubleshooting Platform (WTP) εντάχθηκε στη λίστα με τις νόμιμες Windows υπηρεσίες που «κακοποιήθηκαν» ώστε να εγκαθιστούν κακόβουλο λογισμικού στους υπολογιστές των χρηστών.

Σύμφωνα με τους Proofpoint ερευνητές, αυτό το τελευταίο τέχνασμα που χρησιμοποιήθηκε στο εσωτερικό των Word εγγράφων εξαπλώθηκε μέσω μιας πρόσφατης spam εκστρατείας.

Όταν οι χρήστες θα άνοιγαν αυτό το Word έγγραφο, θα τους υποδέχονταν ένα συνονθύλευμα τυχαίων χαρακτήρων και μια προειδοποίηση στην αρχή του εγγράφου. Αυτή η προειδοποίηση είχε ως εξής: “Document has incorrect encoding: ‘UTF-8’ Double click to auto detect charset.

double-click-malware

Η προειδοποίηση δεν ήταν τίποτα παραπάνω από ένα OLE αντικείμενο, ένα διαδραστικό στοιχείο που μπορεί να ενσωματωθεί οπουδήποτε μέσα σε ένα Office έγγραφο.

Οι Proofpoint ερευνητές λένε ότι κάνοντας διπλό κλικ αυτή την ειδοποίηση θα ξεκινούσε η εκτέλεση ενός DIAGCAB αρχείου.

Το DIAGCAB είναι μια μορφή αρχείου που συνδέεται με το Windows Troubleshooting Platform, ένα Microsoft σύστημα που δημιουργήθηκε για να επιτρέψει στους προμηθευτές λογισμικού και τους OEMs (Original Equipment Manufacturers) να αυτοματοποιήσουν την εκτέλεση των διαφόρων troubleshooting και auto-repair εργασιών.

Όλοι οι χρήστες έχουν δει και έχουν κάνει κλικ στα  troubleshooting παράθυρα όταν είχαν προβλήματα με τη σύνδεση στο Internet και επέλεγαν την «Troubleshoot connection» επιλογή. Μερικές φορές αυτή η διαδικασία επισκευάζει τις ρυθμίσεις δικτύου τους, έτσι οι περισσότεροι χρήστες είναι συνηθισμένοι να κάνουν κλικ στο “Επόμενο” όταν βλέπουν troubleshooting παράθυρα.

Στην περίπτωση αυτής της πρόσφατης spam εκστρατείας, κάνοντας διπλό κλικ στην προειδοποίηση για τον εντοπισμό του συνόλου χαρακτήρων του εγγράφου γίνεται εκκίνηση του troubleshooting παραθύρου, που δεν είναι τίποτε παραπάνω από ένα DIAGCAB αρχείο. Αυτό το αρχείο περιέχει μια σειρά από αυτοματοποιημένα PowerShell scripts, τα οποία σύμφωνα με την Proofpoint κατεβάζουν και εγκαθιστούν το LatentBot backdoor trojan.

Από τεχνική άποψη, δεν υπάρχει διαφορά μεταξύ των macro scripts και των εν λόγω troubleshooting scripts, αφού και τα δύο να επιτρέπουν σε έναν εισβολέα να εκτελέσει μια σειρά από αυτοματοποιημένες διαδικασίες στον υπολογιστή του θύματος.

Malware μόλυνση των χρηστών μέσω του Windows Troubleshooting Platform

Η διαφορά είναι ότι το λογισμικό ασφαλείας που είναι εγκατεστημένο στον υπολογιστή του χρήστη είναι προγραμματισμένο να παρακολουθήσει το κακόβουλο λογισμικό που μπορεί να εγκατασταθεί μέσω των Office macro scripts, ενώ τα troubleshooting πακέτα αγνοούνται εντελώς.

Εκτός από το Windows Troubleshooting Platform (WTP), κατά το παρελθόν, malware συγγραφείς έχουν κακομεταχειριστεί και άλλες Windows υπηρεσίες και χαρακτηριστικά, όπως τα Windows Management Instrumentation (WMI), Office Interoperability, Background Intelligent Transfer Service και το Task Scheduler.

Ευτυχώς, αυτό το νέο κόλπο απαιτεί την αλληλεπίδραση του χρήστη, όπως ακριβώς και τα macro scripts, έτσι οι χρήστες που πέρασαν από εκπαίδευση σε θέματα ασφάλειας είναι πολύ πιθανό να εντοπίσουν αυτό το πονηρό προειδοποιητικό μήνυμα και να καλέσουν τον διαχειριστή του συστήματός τους για περαιτέρω έρευνα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Λος Άντζελες: Ιπτάμενα αυτοκίνητα στον ουρανό της πόλης μέχρι το 2024

Ένα βήμα πιο κοντά στο να γίνουν πραγματικότητα, βρίσκονται τώρα τα ιπτάμενα αυτοκίνητα, καθώς ένας από τους μεγαλύτερους παίκτες στον τομέα δεσμεύθηκε...

Πως να αποκρύψετε το Tab bar στο Safari για iPad (ή να το επαναφέρετε)

Από προεπιλογή, το Safari για iPad εμφανίζει μια γραμμή εργαλείων γεμάτη browser tabs όταν έχετε περισσότερες από μία καρτέλες ανοιχτές. Εάν προτιμάτε...

Ο Bill Gates λέει ότι προτιμά τα Android smartphone αντί των iPhone

Ο συνιδρυτής της Microsoft, Bill Gates, αυτή την εβδομάδα συμμετείχε στην πρώτη του συνάντηση με την εταιρεία Clubhouse, η οποία διαθέτει την...

Κυβερνοεγκληματίες προσφέρουν hacking υπηρεσίες σε κυβερνήσεις

Hacking ομάδες που εμπλέκονται σε διάφορα εγκλήματα στον κυβερνοχώρο, είναι πλέον τόσο εξειδικευμένες, που οι κυβερνήσεις κρατών τις χρησιμοποιούν για δικές τους...

Η Intel διόρθωσε σφάλματα στους drivers Wi-Fi και Wireless Bluetooth

Η Intel έχει αντιμετωπίσει ζητήματα στους drivers Wi-Fi και Wireless Bluetooth που προκαλούν σφάλματα BSOD στα Windows 10 και στις συσκευές Bluetooth...
00:03:10

Hyundai: Η ανάκληση 82.000 ηλεκτρικών οχημάτων θα είναι μια από τις πιο ακριβές στην ιστορία

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00:02:35

Το Star Wars: Republic Commando έρχεται σε PS4 και Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: Απενεργοποιεί mobile app μετά από credential stuffing επιθέσεις

Μία από τις μεγαλύτερες εταιρείες ενέργειας του Ηνωμένου Βασιλείου, η Npower, αναγκάστηκε να απενεργοποιήσει το mobile app της, όταν έμαθε για μια...
00:10:11

Εικονική πραγματικότητα (VR): Τί είναι και πώς αλλάζει τη ζωή μας;

Συχνά ακούμε τον όρο Εικονική Πραγματικότητα (VR) σε καινοτομίες που αφορούν τον χώρο του gaming. Ωστόσο, αυτή η τεχνολογία δεν περιορίζεται μόνο...

Η γιγαντιαία εταιρεία Sequoia Capital αποκαλύπτει παραβίαση δεδομένων

Η αμερικανική εταιρεία VC, Sequoia Capital, αποκαλύπτει ότι δέχτηκε μια hacking επίθεση. Από την ίδρυση της το 1972, η εταιρεία επιχειρηματικών κεφαλαίων...