Apontado Zyklon , o malware completo apresentou ressurgimento após quase dois anos e principalmente encontrou segmentação de telecomunicações, seguros e serviços financeiros.
Ativo desde o início de 2016, o Zyklon é um malware de botnet HTTP que se comunica com seus servidores de comando e controle sobre a rede Tor anonymising e permite que os invasores roubem os keylogs, dados confidenciais, como senhas armazenadas em navegadores e clientes de e-mail.
O malware Zyklon também é capaz de executar plugins adicionais, incluindo secretamente usando sistemas infectados para ataques DDoS e mineração em criptografia.
Diferentes versões do malware Zyklon já foram encontradas anunciadas em um popular mercado subterrâneo por US $ 75 (compilação normal) e $ 125 (compilação habilitada para Tor).
De acordo com um relatório recentemente publicado por FireEye, os atacantes por trás da campanha estão aproveitando três vulnerabilidades seguintes no Microsoft Office que executam um script PowerShell nos computadores direcionados para baixar a carga final do seu servidor C & C.
1) Vulnerabilidade .NET Framework RCE ( CVE-2017-8759) - esta vulnerabilidade de execução de código remoto existe quando o Microsoft .NET Framework processa entrada não confiável, permitindo que um invasor tome controle de um sistema afetado, enganando as vítimas para abrir um arquivo de documento malicioso especialmente criado por um email. A Microsoft já lançou um patch de segurança para esta falha nas atualizações de setembro.
2) Vulnerabilidade de RCE do Microsoft Office ( CVE-2017-11882 ) - é uma falha de corrupção de memória de 17 anos que a Microsoft corrigiu na atualização de atualização de novembro permite que um invasor remoto execute códigos mal-intencionados nos sistemas segmentados sem exigir qualquer interação do usuário após a abertura um documento malicioso.
3) Protocolo dinâmico de troca de dados ( DDE Exploit) - essa técnica permite que os invasores alavancem um recurso incorporado do Microsoft Office, chamado DDE, para executar a execução do código no dispositivo segmentado sem exigir que as Macros sejam ativadas ou corrupção de memória.
Conforme explicado pelos pesquisadores, os atacantes estão explorando ativamente essas três vulnerabilidades para entregar malware Zyklon usando e-mails de phishing de lança, que normalmente chega com um arquivo ZIP anexado contendo um arquivo do Office doc malicioso.
Uma vez aberto, o arquivo de documento malicioso equipado com uma dessas vulnerabilidades executa imediatamente um script do PowerShell, que eventualmente baixa a carga final, ou seja, o malware do HTTP Zyklon, no computador infectado.
"Em todas essas técnicas, o mesmo domínio é usado para baixar a carga útil do próximo nível (Pause.ps1), que é outro script do PowerShell codificado em Base64", disseram os pesquisadores da FireEye.
"O script Pause.ps1 é responsável por resolver as APIs necessárias para a injeção de código. Ele também contém o shellcode injetável".
"O código injetado é responsável pelo download da carga final do servidor. A carga final do estágio final é um executável PE compilado com a estrutura .Net".Curiosamente, o script PowerShell se conecta a um endereço IP dotless (exemplo: http: // 3627732942 ) para baixar a carga útil final. O que é Dotless IP Address? Se você não tem conhecimento, os endereços IP sem pontos, às vezes referidos como "Endereço decimal", são valores decimais dos endereços IPv4 (representados como notação quadribada). Quase todos os navegadores web modernos resolvem o endereço IP decimal para o seu endereço IPV4 equivalente quando aberto com "http: //" seguindo o valor decimal. Por exemplo, o endereço IP do Google 216.58.207.206 também pode ser representado como http: // 3627732942 em valores decimais (Experimente este conversor online).
A melhor maneira de se proteger e a sua organização de tais ataques de malware sempre deve ser suspeita de qualquer documento não convidado enviado via e-mail e nunca clicar em links dentro desses documentos, a não ser que verifique adequadamente a fonte.
Mais importante ainda, mantenha sempre o seu software e os seus sistemas atualizados, uma vez que os atores da ameaça incorporam vulnerabilidades recentemente descobertas, mas remendadas, em software
FONTE:THEHACKERNEWS
Comentários
Postar um comentário