Nowa wersja trojana Tinba w plikach PowerPoint
#1
Niemal dokładnie 5 lat temu (czerwiec 2012) anonsowany był u nas na forum

[Aby zobaczyć linki, zarejestruj się tutaj]

...dziś wraca (nie po raz pierwszy...kilka lat temu "nawiedzał" użytkowników jako Poczta Polska) w nowej odsłonie - ukryty jako szkodliwy kod w plikach popularnego programu do PowerPoint, o czym poinformowalo laboratorium SentinelOne.
Opis tej nowej infekcji jest ładnie opisany na stronie AVLab i stamtąd krótkie info
Cytat:Ulepszony wariant Tinby zidentyfikowano „in-the-wild” w pliku PowerPoint (rozszerzenie .PPT), który był załączony do wiadomości e-mail z potwierdzeniem zamówienia. Nie będziemy rozwodzić się nad sposobem dostarczenia trojana w spamie – najbardziej interesującym aspektem jest sposób, w jaki trojan infekuje urządzenie:
- Trojan nie wykorzystuje złośliwych poleceń makro (w ten sposób, autorzy złośliwego oprogramowania zazwyczaj posługują się interpreterem Powershell do zainicjowania szkodliwych zdarzeń, np. pobrania ze zdalnego serwera i uruchomienia dodatkowych wirusów).
- Rola użytkownika w procesie infekowania sprowadzona jest do niezbędnego minimum: wystarczy najechanie myszą na hiperłącze, które znajduje się w dokumencie...
(...)
Autorzy trojana bankowego Tinba zastosowali:
  • spam, aby dostarczyć na komputery użytkowników szkodliwe pliki,
  • socjotechnikę, aby przekonać lub wzbudzić zaufanie do otrzymanej wiadomości i załączonych plików,
  • nieczęsto spotykaną technikę uruchomienia skryptu Powershell w dokumencie PowerPoint,
  • pobranie złośliwego skryptu JavaScript za pośrednictwem systemowego interpretera Powershell,
  • uruchomienie trojana bankowego poprzez dobrze ukryty, typowy downloader napisany w języku JavaScript.
(...)
Rola, jaką odgrywają złośliwe skrypty uruchamiane przez interpreter Powershell, zaczyna nabierać na znaczeniu. Istotne jest, aby przy wyborze produktu bezpieczeństwa kierować się nie tylko skuteczną behawioralną ochroną, ale (w dobie podobnych ataków, których świadkami będziemy coraz częściej) przede wszystkim mechanizmami radzącymi sobie z blokowaniem skryptów, które są uruchamiane przez systemowe i zaufane procesy: cmd.exe, powershell.exe, wscript.exe, cscript.exe.

Niestety, ale w teście na ochronę przed atakami drive-by download, większość przebadanych przez AVLab programów ochronnych pozwala na uruchamianie i wykonywanie złośliwych skryptów, które przecież dla interpretera są po prostu „kodem”, który trzeba uruchomić – bez kategoryzowania zawartych znaków na groźne lub bezpieczne. W tym aspekcie ochrony, znaczna część programów antywirusowych jest po prostu niedostosowana do współczesnych zagrożeń, które korzystają z bezpiecznych procesów systemowych i podpisanych cyfrowo plików przez Microsoft.
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]



Analiza SentinelOne

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości