Hackers zijn meedogenloos als het gaat om het testen van de grenzen van software op mogelijke zwakke punten die kunnen worden misbruikt.

Het lijkt erop dat een onbekende groep hackers een nieuwe heeft gevonden. Op basis van wat onderzoekers van Malwarebytes zien, heeft een groep hackers een nieuwe fileless aanvalstechniek ontwikkeld om misbruik te maken van de WER-service (Windows Error Reporting) van Microsoft. Ze deden dit om onopgemerkt voorbij te gaan aan alle detectieprotocollen die op het doelsysteem aanwezig zijn.

Zoals bij zoveel andere aanvallen, vertrouwt deze op phishing-technieken, waarbij een e-mail wordt gestuurd naar een nietsvermoedende medewerker met toegang tot het netwerk, dat de groep wil infiltreren. De onderzoekers vonden het kwaadaardige bestand verpakt in een .ZIP-bestand en met de titel "Compensation Manual.doc" met de tekst van de e-mail waarin ze beweerden dat het geïnfecteerde document gedetailleerde informatie bevat met betrekking tot de rechten van werknemerscompensatie.

Uiteraard bevat het document dergelijke informatie niet. Het bevat echter een macro die is ontworpen om "Kraken.dll" in het geheugen te laden en uit te voeren via VBScript. Zodra dat gebeurt, zal het binaire bestand een ingesloten shellcode injecteren in WerFault.exe, dat deel uitmaakt van het eerdergenoemde Windows Error Reporting System.

Dit is wat het onderzoeksteam erover te zeggen had:

"Die rapportageservice, WerFault.exe, wordt meestal toegepast wanneer er een fout optreedt met betrekking tot het besturingssysteem, Windows-functies of applicaties. Wanneer slachtoffers WerFault.exe op hun computer zien draaien, gaan ze er waarschijnlijk van uit dat er een fout is opgetreden, terwijl ze in dit geval daadwerkelijk het doelwit zijn van een aanval."

Helaas is er op dit moment weinig anders bekend over de kwaadaardige code, die het onderzoeksteam "Kraken" heeft genoemd. Het is ontworpen om te worden uitgeschakeld als er indicaties van analytische activiteiten worden gedetecteerd, en er staat niets in de code dat duidelijk aangeeft dat het een ontwerp is van een van de bekende, gevestigde bedreigingsgroepen. Deze is sluw en moeilijk te detecteren. Zorg ervoor dat uw IT-personeel zich bewust is van de dreiging.

Used with permission from Article Aggregator