Nova tehnika napada bez dadoteka koja zloupotrebljava Windows Error Reporting service (WER), djelo je hakerske grupe koja još nije identifikovana.
Kako kažu Malwarebyte-ovi istražitelji bezbjednosti Hossein Jazi i Jérôme Segura, vektor napada oslanja se na malware koji se zakopava u izvršne datoteke zasnovane na WER-u kako bi se izbjeglo izazivanje sumnje.
U postu na blogu u utorak, dvojac je rekao da je novi napad “Kraken” – iako sam po sebi nije potpuno nova tehnika – otkriven 17. septembra. Phishing dokument koji je tim pronašao, spakovan je u .ZIP datoteku pod nazivom „ Compensation manual.doc (Priručnik za nadoknadu štete.doc)“, gde se tvrdi da sadrži informacije u vezi sa pravima na nadoknadu zaposlenih, ali kada se otvori, može da pokrene zlonamerni makro. Makro koristi prilagođenu verziju CactusTorch VBA modula za pokretanje napada bez datoteka, omogućen kroz shellcode. CactusTorch je u stanju da učita kompajlirani .Net binarni naziv pod nazivom “Kraken.dll” u memoriju i izvrši ga putem VBScripta. Ovo ubacuje shellcode u WerFault.exe, proces povezan sa WER servisom koji Microsoft koristi za praćenje i adresiranje grešaka operativnog sistema.
Hakeri još nisu identifikovani
Prema Malwarebyte-u „Taj servis za prijavljivanje grešaka, WerFault.exe, pokreće se kada se pojavi greška u vezi sa operativnim sistemom, Windows funkcijama ili aplikacijama. Kada žrtve hakovanja vide da WerFault.exe radi na njihovoj mašini, pretpostavljaju da se dogodila neka greška, ne sumnjajući da su u ovom slučaju zapravo meta napada.“ Ovu tehniku koriste i NetWire Remote Access Trojan (RAT) i cryptocurrency-kradljivac Cerber ransomware. Shellcode takođe izvršava naredbu kojom upućuje HTTP zahtev na hard-coded domain, verovatno za preuzimanje dodatnog malwarea. Pokazalo se da je hakerski napad Kraken trenutno teško pripisati određenoj grupi. Hard-coded target URL malwarea uklonjen je u trenutku analize, a bez toga nisu mogući jasni markeri koji ukazuju na jedan ili drugi APT.
Malwarebites kaže da postoje neki elementi koji su istraživače podsjetili na APT32, takođe poznat kao OceanLotus, vijetnamski APT za koga se vjeruje da je odgovoran za sajber napade na BMW i Hyundai u 2019. godine.
Iskur je dostupan za prednarudžbe na Razerovoj web stranici, a više prodavača dolazi kasnije ove godine. Secretlab pravi prilično dobre stolice; radujemo se isprobavanju ovog konkurenta.
