ΑρχικήsecurityWindows 10 Remote Desktop ActiveX control: Χρησιμοποιείται για malware επίθεση

Windows 10 Remote Desktop ActiveX control: Χρησιμοποιείται για malware επίθεση

Ερευνητές ασφαλείας ανακάλυψαν μια νέα malware επίθεση (μέρος μιας Trickbot εκστρατείας) που πραγματοποιείται μέσω κακόβουλων εγγράφων. Στόχος είναι η μόλυνση Windows χρηστών. Οι hackers εκμεταλλεύονται το Windows 10 Remote Desktop ActiveX control για την πραγματοποίηση της επίθεσης.

Το TrickBot είναι ένα από τα πιο δημοφιλή banking malware, που στοχεύει κυρίως οικονομικές πληροφορίες, ενώ λειτουργεί και ως dropper για την εγκατάσταση πρόσθετων κακόβουλων λογισμικών στα συστήματα των θυμάτων.

Ουσιαστικά, οι hackers, σε αυτή την εκστρατεία, χρησιμοποιούν το ActiveX control σε Word έγγραφα για να εκτελέσουν ένα malware downloader στα Windows 10. Το malware downloader ονομάζεται Ostap και έχει χρησιμοποιηθεί πρόσφατα για τη διανομή του TrickBot.

Διαδικασία μόλυνσης

Αρχικά, οι επιτιθέμενοι στέλνουν στα θύματα spam emails που περιλαμβάνουν ένα κακόβουλο συνημμένο.

Επίσης, χρησιμοποιούν μια social engineering τεχνική για να πείσουν τα θύματα να ανοίξουν το κακόβουλο έγγραφο και να ενεργοποιήσουν την κακόβουλη μακροεντολή. Στο έγγραφο υπάρχει και μια εικόνα που δείχνει ότι το περιεχόμενο είναι κρυπτογραφημένο. Αυτό υπάρχει για να πείσει το χρήστη να ενεργοποιήσει τις μακροεντολές.

Το downloader παραδίδεται ως ένα Microsoft Word 2007 (.DOCM) έγγραφο, όπου πρέπει να γίνει ενεργοποίηση μακροεντολών. Το έγγραφο περιέχει τα δύο στοιχεία του downloader: μια μακροεντολή VBA και το JScript. Τα emails και τα δείγματα που αναλύθηκαν είχαν ως θέμα οικονομικές συναλλαγές και πιθανότατα στόχευαν επιχειρήσεις και όχι απλούς χρήστες.

Οι ερευνητές διαπίστωσαν ότι το JavaScript στοιχείο του downloader αποθηκεύεται μέσα στο έγγραφο Word και έχει το χρώμα του φόντου, ώστε να είναι αόρατο και να μην το παρατηρεί ο χρήστης.

Ένας μέρος των κακόβουλων μακροεντολών εκτελείται όταν ανοίγει το έγγραφο για πρώτη φορά. Ωστόσο, οι μακροεντολές συνεχίζουν να εκτελούνται ακόμα και όταν κλείσει το έγγραφο. Αυτό είναι πολύ έξυπνο, γιατί εμποδίζεται η ανάλυση από τα sandboxes.

Οι hackers, σε αυτή τη malware επίθεση (που εκμεταλλεύεται το Windows 10 Remote Desktop ActiveX), χρησιμοποιούν περίπλοκες και έξυπνες τεχνικές και η απλή ενημέρωση του λειτουργικού συστήματος μπορεί να μην είναι αρκετή για την προστασία των συστημάτων.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS