Une nouvelle technique d'attaque a été découverte par Huntress Labs qui utilise un certain nombre de trucs, notamment renommer des fichiers légitimes, usurper l'identité d'une tâche planifiée existante et utiliser de faux journaux d'erreurs pour se cacher à la vue.
Après avoir gagné en persistance sur un système ciblé, l'attaquant a utilisé un fichier qui imite un journal d'erreurs Windows pour une application afin de préparer le système aux attaques basées sur des scripts.
«À première vue, cela ressemble à un journal pour certaines applications. Il a des horodatages et inclut des références à OS 6.2, le numéro de version interne pour Windows 8 et Window Server 2012. Il s'avère que ce fichier est associé à un pied malveillant que nous avons découvert. »
Le faux journal des erreurs utilisé par les attaquants stocke en fait des caractères ASCII qui ont été déguisés en valeurs hexadécimales.
Sommaire
Cachant à la vue
Une fois le faux journal d'erreurs décodé, il crée un script qui est utilisé pour contacter le serveur de commande et de contrôle de l'attaquant pour savoir quoi faire ensuite.
Selon Ferrel, la charge utile est obtenue en utilisant une tâche planifiée usurpant l'identité d'une tâche réelle sur le système ciblé. La technique utilise également deux exécutables qui ont été renommés pour apparaître comme des fichiers légitimes.
Le premier est nommé «BfeOnService.exe» et il s'agit en fait d'une copie d'un utilitaire appelé «mshta.exe» qui exécute Microsoft HTML Applications (HTA). L'utilitaire a été utilisé abusivement dans le passé pour déployer des fichiers HTA malveillants, mais dans ce cas, il est utilisé pour exécuter un VBScript pour démarrer PowerShell et exécuter une commande dedans. L'autre exécutable est nommé «engine.exe» et est une copie de «powershell.exe». Il est utilisé pour extraire les nombres ASCII contenus dans le faux journal d'erreurs et les convertir afin d'obtenir la charge utile.
La charge utile elle-même recueille des informations sur les navigateurs, les logiciels fiscaux, les logiciels de sécurité et les logiciels PoS installés sur le système. Cependant, à l'heure actuelle, l'objectif final de l'attaquant utilisant cette nouvelle technique d'attaque est encore inconnu.
Via BleepingComputer