Un nuevo malware utiliza la utilidad de Windows para el robo de datos

WMIC basado en las cargas de destacar la astucia las artimañas de los atacantes que utilizan undeleterious sistema de operaciones para echar raíces en los dispositivos de Windows.

Los investigadores han detectado una nueva amenaza que hace uso de relativamente desconocido de Microsoft Windows utilidades e inofensivo software permanecer invisibles para el robo de información confidencial de un determinado usuario.

Como Symantec informó, el nuevo ataque de malware en el mecanismo consiste en "vivir de la tierra".

¿Qué significa esto? Los Hackers están utilizando ya instalado legítimo de los recursos de un dispositivo con el que quiere robar la información. Estos ataques pueden ser llamados fileless, porque no hay archivos están dañados. No queda ningún rastro en absoluto. Así, con el mínimo riesgo de ser detectado.

Un nuevo peligro de la cadena de usa exactamente esta técnica de ataque.

Symantec también destacó que esta campaña explota el Instrumental de Administración de Windows de línea de Comandos (WMIC) de la utilidad que es una herramienta especial de los dispositivos de Microsoft Windows.

Esta auténtica herramienta pone a disposición una interfaz de línea de comandos de la Interfaz de Administración de Windows (WMI) que se utiliza para fines administrativos, así como para la consulta de la configuración del sistema, el control de procesos y ejecutar secuencias de comandos.

Combinado con XSL (eXtensible Stylesheet Language) archivos, este complejo representa una parte de un multi-paso ataque a hackear la información de los dispositivos de Windows.

Este ataque consiste en una campaña de phishing con un enlace distribuido a través de la URL. Al hacer clic en este enlace falso llevará a la descarga de un malicioso XSL archivo desde un servidor remoto.

Este archivo incluye JavaScript, que no es tan inocente como puede parecer a primera vista. En general, contiene una lista de 52 dominios para la generación aleatoria de un dominio y el número de puerto para descargar Aplicaciones HTML (HTA) en los archivos y los tres archivos Dll, que se entregan a ambos regsvr32.exe y el principal de carga.

La carga útil contiene numerosos módulos para robar información confidencial, por ejemplo, la MailPassview utilidad para la intercepción de contraseña de correo electrónico, Navegador web Passview de software para la recopilación de la información del navegador web, un Registrador de teclas, etc.

De acuerdo con Symantec, no es un nuevo malware, es un mecanismo habitual para la propagación, pero en este caso la función es otra: para la descarga de un archivo malicioso. El uso de WMIC permite a los hackers para no ser detectado y ofrece un lugar serio herramienta para realizar sus malos planes.

En enero, los investigadores de FireEye informó de que se estaban practicando en encontrar las debilidades en Microsoft Office mediante la distribución del malware con capacidad para robar información confidencial, realizar cryptocurrency de minería de datos y el lanzamiento de ataques de denegación de servicio (DDoS) ataques.

Esta campaña utiliza PowerShell para echar raíces (en este caso, a la caída de cargas de malware) en los sistemas vulnerables.