Хакеры используют службу регистрации ошибок Windows (WER) в новых атаках

Дата: 07.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры используют службу регистрации ошибок Windows (WER) в новых атаках

Специалисты компании Malwarebytes Жером Сегура и Хусейн Джази обнаружили новый тип кибератак, вектор которых основывается на том, что вредоносное ПО скрывается в исполняемых файлах на основе WER (службы регистрации ошибок Windows), чтобы не вызывать подозрений.

Специалисты обнаружили фишинговый документ, который был упакован в ZIP. Файл назывался «Compensation manual.doc», в нем утверждается, что в нем содержатся данные, которые касаются прав работников на компенсацию, но при его открытии запускается вредоносный макрос. Макрос пользуется специальной версией модуля CactusTorch VBA для запуска бесфайловой атаки, которая становится возможной за счет шеллкода.

CactusTorch загружает в память скомпилированный .Net двоичный файл Kraken.dll, выполняет его через VBScript. Благодаря этой полезной нагрузке внедряется встроенный шеллкод в WerFault.exe – процесс, который связан со службой WER и используется Microsoft для отслеживания и устранения ошибок операционной системы».

Представители Malwarebytes сообщают: «Эта служба отчетов WerFault.exe обычно вызывается при возникновении ошибки, которая связана с операционной системой, функциями Windows или приложениям. Когда жертва видит, что на их устройстве запущена служба WerFault.exe, то они предполагают, что просто произошла какая-то ошибка, в то время, когда они являются жертвой кибератаки».

Такая же методика используется трояном удаленного доступа NetWire (RAT), который принадлежит группировке Cerberus, сосредоточенной на воровстве криптовалюты.

Шеллкод также получает команду сделать HTTP-запрос к запрограммированному домену, возможно, для скачивания вспомогательного вредоносного ПО.

Операторы вредоносного программного обеспечения Kraken применяют несколько методов антианализа: обфускацию кода, принуждение DLL к работе в нескольких потоках, проверку среды песочницы или отладчика и сканирование реестра, чтобы узнать, запущены ли виртуальные машины VMWare или Oracle VirtualBox. Разработчики запрограммировали вредоносный код на прекращение работы при обнаружении индикаторов аналитических действий. 

В Malwarebytes отмечают, что есть некоторые особенности проведения кибератак группой Kraken, которые напомнили им группировку APT32, также известную как OceanLotus, вьетнамский группу, которая, как считается, была ответственна за атаки на BMW и Hyundai в 2019 году.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *