Arquivos SFX podem iniciar o PowerShell sorrateiramente

SFX can launch PowerShell

CrowdStrike alerta que hackers estão adicionando funcionalidades maliciosas a arquivos SFX autoextraíveis contendo arquivos honeypot inofensivos que podem iniciar o PowerShell.

Este truque simples permite que invasores coloquem backdoors nas vítimas’ máquinas sem levantar um “alarme”.

Deixe-me lembrá-lo de que também escrevemos isso Os invasores visam desenvolvedores .NET com malware NuGet Pacotes, e também isso Hackers comprometeram o Slack privado GitHub repositórios.

Também especialistas em segurança da informação alertaram que Os hackers ignoram a proteção contra ransomware usando WinRAR.

Os pesquisadores lembram que os arquivos autoextraíveis criados com arquivadores como WinRAR e 7-Zip são, na verdade, arquivos executáveis ​​que contêm dados de arquivo junto com funcionalidade de descompactação integrada.

O acesso a esses arquivos pode ser protegido por senha para evitar acesso não autorizado. efeitos sonoros os arquivos foram criados originalmente para facilitar a distribuição de dados para usuários que não possuem um descompressor.

SFX pode iniciar o PowerShell
Arquivo SFX protegido por senha

Recentemente, Greve coletiva especialistas descobriram um invasor que usou credenciais roubadas para abusar utilman.exe (um aplicativo de acessibilidade que pode ser executado antes que o usuário faça login) e configurei-o para executar um arquivo SFX protegido por senha que foi previamente colocado no sistema.

SFX pode iniciar o PowerShell

O arquivo SFX iniciado por utilman.exe era protegido por senha e continha um arquivo de texto vazio que funcionava como isca. O verdadeiro propósito do arquivo era executar PowerShell, a linha de comando do Windows (cmd.exe) e a “Gerenciador de tarefas” com privilégios de sistema.

Uma análise mais aprofundada da ameaça mostrou que o invasor adicionou vários comandos ao mesmo tempo, que foram executados depois que o destino descompactou o arquivo de texto arquivado.

SFX pode iniciar o PowerShell

Como você pode ver na imagem acima, o invasor configurou o arquivo SFX de tal forma que nenhuma caixa de diálogo foi exibida durante o processo de extração. Ele também adicionou instruções para iniciar o PowerShell, Prompt de comando, e Gerenciador de Tarefas.

O fato é que o WinRAR oferece um conjunto de configurações avançadas para SFX, que permitem adicionar uma lista de arquivos executáveis ​​para serem iniciados automaticamente antes ou depois do processo de descompactação, bem como substituir arquivos existentes na pasta de destino se já existirem arquivos com o mesmo nome.

SFX pode iniciar o PowerShell

Porque este arquivo SFX pode ser iniciado na tela de login, o invasor tinha efetivamente um backdoor permanente que poderia ser acessado para iniciar o PowerShell, Prompt de comando do Windows, e “Gerenciador de Tarefas” com privilégios NT AUTHORITYSYSTEM se a senha correta foi fornecida. Este tipo de ataque provavelmente passará despercebido pelos softwares antivírus tradicionais que procuram malware dentro do próprio arquivo.especialistas explicam.

Os pesquisadores lembram que os usuários devem prestar atenção especial aos arquivos autoextraíveis e usar software apropriado para verificar seu conteúdo e procurar possíveis scripts e comandos programados para serem executados na extração..

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *