Característica legítima de Windows explotada para instalar puertas traseras

Se ha detectado una nueva campaña de phishing que abusa de una función legítima de Windows para descargar malware de puerta trasera. Los agentes de amenazas aquí están usando correos electrónicos de propagación con ejecutables maliciosos, que si se descargan y habilitan, utilizará el comando Windows Finger para recuperar el malware MineBridge.

Abuso de recursos de Windows para la configuración de puerta trasera

Es común que los piratas informáticos abusen de las funciones legítimas del sistema para evitar ser detectados. Actores de amenazas Malware MineBridge también están haciendo lo mismo, en una campaña de phishing detectada recientemente. Kirk Sayre, un investigador de seguridad descubrió esta campaña, donde los malos están explorando el Función de dedo de Windows.

La función Finger es una herramienta remota para obtener información sobre la lista de usuarios en un sistema remoto o detalles detallados para un usuario específico que usa un sistema remoto. Esto estuvo disponible primero para el sistema operativo Linux / Unix y luego para Windows. Como lo describe Kirk Sayre, Los piratas informáticos están usando este comando para instalar puertas traseras MineBridge en el sistema host.

MineBridge era reportado por primera vez por el equipo de seguridad de FireEye, donde sus autores estaban difundiendo archivos de Word con ejecutables maliciosos a través de correos electrónicos de phishing, sujetos a currículums de personas que buscan trabajo, y solicitarán habilitar las opciones de edición para verlos. Ahora, están sucediendo de la misma manera, con el mismo tema.

Los usuarios desprevenidos que caen en este truco primero abrirán el documento de Word, activarán las opciones de edición según lo solicitado y verán una solicitud falsa para el trabajo. En el fondo, el palabra ejecutable descarga una macro protegida por contraseña para operaciones futuras.

Macro desplegada por BleepingComputer

BleepingComputadora logró omitir la autenticación de contraseña y desabrochó la macro para ver un certificado codificado en Base64 que se descarga desde un servidor remoto mediante el comando Windows Finger, y guardado como% AppData% vUCooUr. Luego, este certificado se descifró con el comando certutil.exe y se guardó como% AppData% vUCooUr.exe.

Al ejecutarlo, se instalará un ejecutable de TeamViewer para descargar el malware MineBridge utilizando el método de secuestro de DLL. Esto le dará a los agentes de amenazas el privilegio de escuchar a los hosts infectados a través del micrófono del sistema y planificar sus próximos movimientos. Por lo tanto, se sugiere deshabilitar permanentemente la función Finger, si no se está utilizando.