Los piratas informáticos están abusando de una falla de dos años en la función de Control de cuentas de usuario (UAC) de Windows para eludir la protección de punto final y entregar malware (se abre en una pestaña nueva)dicen los investigadores.
Los expertos en ciberseguridad de SentinelOne publicaron recientemente un nuevo informe que detalla cómo los actores de amenazas están utilizando la falla UAC para atacar a las víctimas en Europa del Este con el troyano de acceso remoto (RAT) Remcos.
En el informe, SentinelOne dice que el ataque comienza con el correo electrónico de phishing habitual. El correo electrónico es corto y dirige a la víctima directamente a un archivo adjunto que dice ser una factura atrasada o urgente de manera similar. Sin embargo, el archivo adjunto es un archivo tar.lz que contiene el ejecutable DBatLoader.
Ocultarse de los programas antivirus
La elección del formato es algo extraña, BleepingComputer (se abre en una pestaña nueva) informes, y reduce las posibilidades de que las víctimas caigan en la trampa. Sin embargo, también reduce las posibilidades de que la seguridad del correo electrónico detecte el archivo adjunto, lo que quizás sea la razón por la que los actores de amenazas están optando por él.
Ejecutar el archivo adjunto hace dos cosas: primero, descarga una segunda carga útil de un servicio de nube pública y luego crea un directorio de confianza simulado.
Un directorio de confianza simulado, informa la publicación, es una carpeta que se burla de uno en el que confía el UAC, al tener un nombre casi idéntico. La única diferencia es que tiene un espacio extra. Entonces, por ejemplo, una carpeta simulada de «C:WindowsSystem32» sería «C:WindowsSystem32».
Como el Explorador de archivos en Windows trata esta carpeta simulada de la misma manera que la legítima (es decir, no activa la advertencia de UAC), los actores de amenazas pueden abusar de ella para ejecutar archivos maliciosos sin que se solicite confirmación al usuario.
Por lo tanto, el ejecutable DBatLoader implementaría un archivo exe legítimo (easinvoker.exe) y una DLL maliciosa (netutils.dll) en el directorio de confianza simulado y los ejecutaría.
Easinvoker.exe ejecutará la DLL maliciosa, sin que los usuarios sepan lo que sucedió. Finalmente, la DLL maliciosa ejecuta Remcos a través de la inyección de procesos, otorgando al actor de amenazas la capacidad de tomar capturas de pantalla y registrar pulsaciones de teclas.
Vía: BleepingComputer (se abre en una pestaña nueva)