Un nuovo malware utilizza l'utility di Windows per il furto di dati

WMIC a base di payload sottolineare i trucchi astuti aggressori che utilizzano undeleterious operazioni di sistema e di prendere radici in dispositivi Windows.

Gli investigatori hanno rilevato una nuova minaccia che fa uso di relativamente sconosciuto utilità di Microsoft Windows e innocuo software di rimanere invisibile per rubare informazioni sensibili dell'utente.

Come Symantec informati, il nuovo attacco di malware meccanismo consiste nel “vivere il paese”.

Che cosa significa? Gli hacker stanno ora utilizzando il già installato legittimo risorse di un dispositivo vogliono rubare informazioni. Tali attacchi possono essere chiamati fileless, perché nessun file sono danneggiati. Non lascia alcuna traccia a tutti. Così, con il minimo rischio di essere scoperti.

Un nuovo pericolo catena utilizza esattamente questa tecnica di attacco.

Symantec ha inoltre sottolineato che questa campagna sfrutta la Strumentazione Gestione Windows da riga di Comando (WMIC) programma di utilità che è uno speciale strumento di dispositivi Microsoft Windows.

Questo autentico strumento mette a disposizione una interfaccia a riga di comando per la Gestione Windows (WMI) che viene utilizzata per scopi amministrativi nonché per l'esecuzione di query impostazioni di sistema, processi di controllo e l'esecuzione di script.

Combinato con XSL (eXtensible Stylesheet Language) file, questo complesso rappresenta una parte di un multi-fase di attacco hack informazioni da dispositivi Windows.

Questo attacco richiede una campagna di phishing con un link distribuiti tramite URL. Cliccando su questo link fasulli porterà al download di un dannoso XSL file da un server remoto.

Questo file include JavaScript, che non è così innocente come potrebbe sembrare a prima vista. In generale, contiene un elenco di 52 domini per la generazione casuale di un dominio e il numero di porta per il download HTML Applicazione (HTA) e file di tre Dll, che vengono poi consegnati ad entrambi regsvr32.exe e il principale payload.

Il payload contiene numerosi moduli per rubare informazioni sensibili, ad esempio, il MailPassview utilità per intercettare password e-mail, Browser web Passview software per la raccolta di informazioni del browser web, un Registratore di tasti, ecc.

Secondo Symantec, non è un nuovo malware, si tratta di un normale meccanismo di propagazione, ma in questo caso la funzione è un'altra: per scaricare un file dannoso. L'uso di WMIC consente agli hacker di rimanere inosservato e fornisce una piuttosto grave strumento per eseguire il loro malintenzionati piani.

Nel mese di gennaio, i ricercatori da FireEye ha informato che stavano praticando nell'individuare i punti di debolezza in Microsoft Office, mediante la distribuzione di malware con capacità di rubare informazioni sensibili, a eseguire cryptocurrency di data mining e di lanciare attacchi di tipo denial-of-service (DDoS).

Questa campagna utilizza PowerShell per prendere radici (in questo caso, per eliminare malware payload) in sistemi vulnerabili.