Un nouveau malware utilise l'utilitaire Windows pour le vol de données

WMIC-fondé des charges souligner la ruse des trucs de pirates qui utilisent undeleterious l'exploitation du système à prendre racines dans les périphériques Windows.

Les enquêteurs ont détecté une nouvelle menace, qui fait usage de relativement inconnu Microsoft Windows utilitaires et inoffensif logiciels de rester invisible pour voler des informations sensibles d'un certain utilisateur.

Comme Symantec informé, le nouveau malware attaque du mécanisme consiste à “vivre de la terre”.

Ça veut dire quoi? Les pirates sont maintenant à l'aide de la déjà installé les ressources légitimes d'un appareil qu'ils veulent voler des informations. De telles attaques peuvent être appelés fileless, car aucun des fichiers sont endommagés. Pas de traces sont laissées à tous. Donc, au minimum le risque d'être détecté.

Un nouveau danger, la chaîne utilise exactement cette technique à l'attaque.

Symantec a également souligné que cette campagne exploits de Windows Management Instrumentation de ligne de Commande (WMIC) utilitaire est un outil spécial de Microsoft Windows périphériques.

Cet authentique outil met à disposition une interface de ligne de commande de l'Interface de Gestion Windows (WMI) qui est utilisé à des fins administratives ainsi que pour requête de paramètres système, les processus de contrôle et d'exécuter des scripts.

Combiné avec XSL (eXtensible Stylesheet Language) de fichiers, ce complexe représente une partie d'un multi-étape d'attaque de pirater des informations à partir de périphériques Windows.

Cette attaque consiste à une campagne de phishing avec un lien distribué via l'URL. En cliquant sur ce faux lien de téléchargement d'un malveillant fichier XSL à partir d'un serveur distant.

Ce fichier contient le code JavaScript, ce qui n'est pas si innocente que cela puisse paraître à première vue. En général, il contient une liste de 52 domaines pour la génération aléatoire d'un domaine et un numéro de port pour télécharger Application HTML (HTA) les fichiers et les trois Dll, qui sont ensuite livrées à la fois regsvr32.exe et la principale charge utile.

La charge utile contient de nombreux modules pour voler des informations sensibles, par exemple, la MailPassview de l'utilitaire pour l'interception du mot de passe de messagerie, Navigateur web Passview logiciel pour la collecte des informations de navigateur web, un Enregistreur de frappe, etc.

Selon Symantec, il n'est pas un nouveau malware, c'est un mécanisme habituel pour la multiplication, mais dans ce cas, la fonction est un autre: pour télécharger un fichier malveillant. L'utilisation de WMIC permet aux pirates de passer inaperçu et fournit une assez grave outil pour effectuer leur mal-intentionnés plans.

En janvier, les chercheurs de FireEye informés qu'ils pratiquaient à trouver les faiblesses de Microsoft Office en distribuant les logiciels malveillants avec la capacité de voler des informations sensibles, pour effectuer cryptocurrency l'exploitation minière et le lancement de déni de service (DDoS).

Cette campagne utilise PowerShell pour prendre racines (dans ce cas, pour supprimer les logiciels malveillants charges) dans les systèmes vulnérables.