Um grupo de hackers ainda não identificado desenvolveu uma técnica de ataque sem arquivo que se aproveita do recurso Windows Error Reporting (WER), da Microsoft, para invadir dispositivos.
Segundo Hossein Jazi e Jérôme Segura, pesquisadores de cibersegurança da empresa Malwarebytes, o vetor de ataque depende do malware que se disfarça em executáveis baseados em WER para evitar suspeitas. O ataque, intitulado Kraken, embora não inédito, está embutido nessa nova técnica para fazer ainda mais vítimas.
O documento de phishing utilizado para implantar o malware foi encontrado pela equipe de cibersegurança empacotado em um arquivo .ZIP chamado “Compensation manual.doc” que, à primeira vista, parece conter informações relacionadas aos direitos de compensação do trabalhador, mas, quando aberto, pode acionar uma macro maliciosa.
Essa macro, que é uma regra ou padrão que especifica como uma certa sequência de entrada deve ser mapeada para uma substituição de sequência de saída, utiliza uma versão customizada do módulo CactusTorch VBA, ferramenta que pode ser executada no Excel, para lançar um ataque sem arquivo, provavelmente por meio de um shellcode, código executado na exploração de vulnerabilidades.
Shellcodes são pequenos comandos utilizados para a exploração de vulnerabilidades. Imagem: Profit_Image/Shutterstock
O módulo CactusTorch é capaz de carregar um arquivo binário compilado .Net chamado “Kraken.dll” na memória para executá-lo via VBScript. Essa carga injeta um shellcode embutido no WerFault.exe, um arquivo conectado ao WER e utilizado pela Microsoft para rastrear e corrigir erros do sistema operacional.
“Esse serviço de relatórios, WerFault.exe, geralmente é invocado quando ocorre um erro relacionado ao sistema operacional, recursos do Windows ou aplicativos”, explicou a Malwarebytes. “Quando as vítimas veem o WerFault.exe em execução em suas máquinas, elas provavelmente presumem que ocorreu algum erro, embora, neste caso, tenham sido realmente alvos de um ataque”, acrescentou.
Os operadores do Kraken fazem o acompanhamento com vários métodos antianálise. Os desenvolvedores programaram o código malicioso para encerrar se forem encontrados indicadores de atividades de análise, como a que ocorreu para essa pesquisa.
Via: ZDNet