Уязвимость двухлетней давности в Windows используется в новой фишинговой кампании
7 марта 2023 г.Хакеры используют уязвимость двухлетней давности в функции контроля учетных записей Windows (UAC), чтобы обойти защита конечных точек и доставлять вредоносное ПО, говорят исследователи.
Эксперты по кибербезопасности из SentinelOne недавно опубликовали новый отчет, в котором подробно описывается, как злоумышленники используют уязвимость UAC для нападения на жертв в Восточной Европе с помощью трояна удаленного доступа Remcos (RAT).
В отчете SentinelOne говорится, что атака начинается с обычного фишингового письма. Электронное письмо короткое, указывая жертве прямо на вложение, в котором утверждается, что это просроченный счет или что-то подобное срочное. Однако вложение представляет собой архив tar.lz, содержащий исполняемый файл DBatLoader.
Скрытие от антивирусных программ
Выбор формата несколько странный, BleepingComputer сообщает и снижает вероятность того, что жертвы попадутся на уловку. Однако это также снижает вероятность того, что вложение будет обнаружено системой безопасности электронной почты, что, возможно, является причиной, по которой злоумышленники выбирают его.
Запуск вложения выполняет две функции: во-первых, он загружает вторую полезную нагрузку из общедоступной облачной службы, а затем создает фиктивный доверенный каталог.
Имитация доверенного каталога, как сообщается в публикации, папка, которая издевается над той, которой доверяет UAC, имея почти идентичное имя. Разница лишь в том, что у него есть дополнительное пространство. Так, например, фиктивная папка «C:\Windows\System32» будет «C:\Windows\System32».
Поскольку File Explorer в Windows рассматривает эту фиктивную папку так же, как и подлинную (например, он не вызывает предупреждение UAC), злоумышленники могут использовать ее для запуска вредоносных файлов без участия пользователя. запрашивается подтверждение.
Таким образом, исполняемый файл DBatLoader развернет законный исполняемый файл (easinvoker.exe) и вредоносную DLL (netutils.dll) в имитацию доверенного каталога и запустит их.
Easinvoker.exe запустит вредоносную DLL, и пользователи не узнают, что произошло. Наконец, вредоносная DLL запускает Remcos посредством внедрения процесса, предоставляя субъекту угрозы возможность делать снимки экрана и регистрировать нажатия клавиш.
- Ознакомьтесь с лучшими брандмауэрами
Через: BleepingComputer
Оригинал