Ένας απειλητικός παράγοντας χρησιμοποιεί ένα ασυνήθιστο συνημμένο (WIM) για να παρακάμψει το security software με στόχο τη διανομή του trojan απομακρυσμένης πρόσβασης Agent Tesla.
Δείτε επίσης: Bizarro banking trojan: Στοχεύει πελάτες τραπεζών σε Ευρώπη και Αμερική
Καθώς οι ασφαλείς πύλες email και το security software γίνονται πιο προηγμένες και προσαρμόζονται στις συνεχώς μεταβαλλόμενες καμπάνιες ηλεκτρονικού “ψαρέματος” (phishing), οι απειλητικοί παράγοντες καταφεύγουν σε πιο ασυνήθιστες μορφές αρχείων για παράκαμψη του εντοπισμού.
Στο παρελθόν, τα phishing scams μετατρέπονταν σε ασυνήθιστα συνημμένα, όπως αρχεία ISO ή αρχεία TAR που δεν βρίσκονται συνήθως ως συνημμένα email.
Ωστόσο, όσο οι απειλητικοί παράγοντες υιοθετούν νέα και ασυνήθιστα attachments, οι εταιρείες κυβερνοασφάλειας προσθέτουν περαιτέρω εντοπισμούς για να τους εμποδίσουν.
Δείτε επίσης: Το QBot trojan αντικαθιστά το IcedID σε malspam εκστρατείες!
Χρησιμοποιώντας το WIM για παράκαμψη της ασφάλειας
Σε μια νέα έκθεση του Trustwave, οι ερευνητές εξηγούν πώς ένας απειλητικός παράγοντας έχει αρχίσει να χρησιμοποιεί συνημμένα WIM (Windows Imaging Format) για τη διανομή του trojan απομακρυσμένης πρόσβασης Agent Tesla.
“Όλα τα αρχεία WIM που συλλέξαμε από τα δείγματά μας περιέχουν κακόβουλο λογισμικό Agent Tesla. Αυτή η απειλή είναι ένα Trojan Remote Access (RAT) γραμμένο στο .Net που μπορεί να πάρει τον πλήρη έλεγχο ενός παραβιασμένου συστήματος και μπορεί να κάνει exfiltrate δεδομένα μέσω HTTP, SMTP, FTP και Telegram,” εξηγεί η ερευνητής ασφαλείας της Trustwave Diana Lopera στην έκθεση.
Αυτές οι καμπάνιες ξεκινούν με phishing emails που προσποιούνται ότι στέλνουν πληροφορίες από την DHL ή την Alpha Trans, όπως φαίνεται παρακάτω.
Στα email περιλαμβάνονται συνημμένα .wim (μερικές φορές τελειώνουν με .wim ή .wim.001) το οποία είναι σχεδιασμένα να παρακάμπτουν το λογισμικό ασφαλείας.
Τα αρχεία Windows Imaging Format (WIM) είναι μια μορφή εικόνας δίσκου βασισμένη σε αρχεία που η Microsoft ανέπτυξε για να βοηθήσει στην ανάπτυξη των Windows Vista και νεότερα λειτουργικά συστήματα.
Τα αρχεία WIM χρησιμοποιούνται για τη συσκευασία ολόκληρης της μονάδας δίσκου, με όλα τα αρχεία και τους φακέλους της, σε ένα μόνο αρχείο για εύκολο distribution.
Δείτε επίσης: Janeleiro: Το νέο banking trojan που στοχεύει οργανισμούς και κυβερνήσεις
Όπως μπορείτε να δείτε παρακάτω, όταν ανοίγετε ένα από αυτά τα συνημμένα WIM σε έναν hex editor, δείχνει καθαρά ότι ένα εκτελέσιμο είναι εγκλεισμένο μέσα σε αυτό.
Ωστόσο, ενώ τα αρχεία WIM ενδέχεται να είναι λιγότερο πιθανό να εντοπιστούν, οι καμπάνιες ηλεκτρονικού ψαρέματος (phishing) που τα χρησιμοποιούν έχουν μεγαλύτερο πρόβλημα, καθώς τα Windows δεν διαθέτουν ενσωματωμένο μηχανισμό για το άνοιγμα ενός αρχείου WIM.
Επομένως, όταν ένας χρήστης προσπαθήσει να ανοίξει το συνημμένο στα Windows, θα εμφανιστεί ένα μήνυμα που θα του ζητά να επιλέξει με ποιο πρόγραμμα θα ανοίξει το αρχείο, όπως φαίνεται παρακάτω.
Αυτή η μορφή αρχείου θα απαιτούσε στη συνέχεια από έναν παραλήπτη να βγει από το δρόμο του και να εξάγει το αρχείο χρησιμοποιώντας ένα πρόγραμμα όπως το 7-zip και στη συνέχεια να κάνει διπλό κλικ στο αρχείο μέσα σε αυτό, κάτι που είναι πολύ απίθανο να συμβεί.
Ενώ η χρήση ενός ασυνήθιστου συνημμένου μπορεί να παρακάμψει ορισμένα φίλτρα ασφαλείας αλλά είναι και δίκοπο μαχαίρι για τον χάκερ.
Οι ασφαλείς πύλες email είναι σχεδόν βέβαιο ότι θα μπλοκάρουν αυτά τα συννημένα. Ωστόσο, εάν συναντήσετε ένα email με συνημμένο WIM, απλώς διαγράψτε το καθώς κανένας νόμιμος πάροχος email δεν χρησιμοποιεί αυτήν τη μορφή αρχείου.
Πηγή πληροφοριών: bleepingcomputer.com
