O campanie de phishing recent observată folosește vulnerabilitatea de securitate Follina, recent dezvăluită, pentru a distribui un backdoor(ușă din spate) nedocumentată anterior pe sistemele Windows.
„Rozena este un malware de tip backdoor care este capabil să injecteze o conexiune shell de la distanță înapoi la mașina atacatorului”, a declarat Cara Lin, cercetătoarea Fortinet FortiGuard Labs, într-un raport.
Cunoscut ca CVE-2022-30190, vulnerabilitatea de execuție a codului de la distanță Microsoft Windows Support Diagnostic Tool (MSDT) a fost exploatată intens în ultimele luni de când a apărut la sfârșitul lui mai 2022.
Punctul de plecare pentru cel mai recent lanț de atac observat de Fortinet este un document Office cu exploit care, atunci când este deschis, se conectează la o adresă URL CDN Discord pentru a prelua un fișier HTML (“index.htm”) care, la rândul său, invocă utilitarul de diagnosticare folosind un Comandă PowerShell pentru a descărca încărcăturile utile din etapa următoare din același spațiu de atașament CDN.
Aceasta include implantul Rozena (“Word.exe”) și un fișier batch (“cd.bat”) care este conceput pentru a termina procesele MSDT, a stabili persistența ușii din spate prin modificarea registrului Windows și a descărca un document Word inofensiv ca momeală. .
Funcția de bază a malware-ului este de a injecta shellcode care lansează un shell invers la gazda atacatorului (“microsofto.duckdns[.]org”), permițând în cele din urmă atacatorului să preia controlul asupra sistemului necesar pentru monitorizarea și captarea informațiilor, menținând în același timp un ușa din spate către sistemul compromis
Exploatarea defectului Follina pentru a distribui programe malware prin documente Word rău intenționate vine ca atacuri de inginerie socială care se bazează pe Microsoft Excel, comenzile rapide Windows (LNK) și fișierele imagine ISO ca droppers pentru a implementa programe malware, cum ar fi Emotet, QBot, IcedID și Bumblebee. dispozitivul victimei.
Se spune că dropperurile sunt distribuite prin e-mailuri care conțin direct dropper-ul sau un ZIP protejat prin parolă ca atașament, un fișier HTML care extrage dropper-ul când este deschis sau un link pentru a descărca dropper-ul din corpul e-mailului.
În timp ce atacurile depistate la începutul lunii aprilie au prezentat în mod proeminent fișiere Excel cu macrocomenzi XLM, se spune că decizia Microsoft de a bloca macrocomenzile în mod implicit în aceeași perioadă a forțat actorii amenințărilor să se orienteze către metode alternative, cum ar fi contrabanda HTML, precum și fișierele .LNK și .ISO. .
Luna trecută, Cyble a dezvăluit detalii despre un instrument malware numit Quantum, care este vândut pe forumuri subterane pentru a permite criminalilor cibernetici să creeze fișiere .LNK și .ISO rău intenționate.
În special, macrocomenzile sunt un vector de atac dovedit pentru atacatorii care încearcă să planteze ransomware și alte programe malware pe sistemele Windows, fie prin e-mailuri de phishing sau altfel.
De atunci, Microsoft a renunțat la planurile de a dezactiva macrocomenzile Office din fișierele descărcate de pe Internet. Compania a declarat pentru The Hacker News că își ia timp pentru a face „modificări suplimentare pentru a îmbunătăți experiența utilizatorului”.
