Windows Defender hackeado para implantar este perigoso ransomware

As vulnerabilidades do Log4j agora estão sendo usadas para implantar beacons Cobalt Strike por meio da ferramenta de linha de comando do Windows Defender, descobriram os pesquisadores.

Pesquisadores de segurança cibernética do Sentinel Labs descobriram recentemente um novo método, empregado por um agente de ameaça desconhecido, com o objetivo final sendo a implantação do ransomware LockBit 3.0.

Funciona assim: o agente da ameaça aproveitaria o log4shell (como o dia zero do Log4j é apelidado) para obter acesso a um endpoint de destino e obter os privilégios de usuário necessários. Quando isso estiver fora do caminho, eles usarão o PowerShell para baixar três arquivos separados: um arquivo de utilitário CL do Windows (limpo), um arquivo DLL (mpclient.dll) e um arquivo LOG (o real sinalizador Cobalt Strike).

Ataque de Cobalto de carregamento lateral

Eles então executariam o MpCmdRun.exe, um utilitário de linha de comando que executa várias tarefas para o Microsoft Defender. Esse programa normalmente carrega um arquivo DLL legítimo – mpclient.dll, que ele precisa para ser executado corretamente. Mas neste caso, o programa carregaria uma DLL maliciosa com o mesmo nome, baixada junto com o programa.

Essa DLL fará o carregamento do arquivo LOG e descriptografará uma carga útil criptografada do Cobalt Strike.

É um método conhecido como side-loading.

Normalmente, esse afiliado da LockBit usava as ferramentas de linha de comando da VMware para carregar os beacons Cobalt Strike, BleepingComputer diz, então a mudança para o Windows Defender é um tanto incomum. A publicação especula que a mudança foi feita para contornar as proteções direcionadas que a VMware introduziu recentemente. Ainda assim, usar ferramentas de vida fora da terra para evitar ser detectado pelo antivírus (abre em uma nova guia) ou malware (abre em uma nova guia) serviços de proteção é “extremamente comum” nos dias de hoje, conclui a publicação, pedindo às empresas que verifiquem seus controles de segurança e estejam vigilantes ao rastrear como executáveis legítimos estão sendo (ab)usados.

Embora o Cobalt Strike seja uma ferramenta legítima, usada para testes de penetração, tornou-se bastante infame, pois está sendo abusada por agentes de ameaças em todos os lugares. Ele vem com uma extensa lista de recursos que os cibercriminosos podem usar para mapear a rede de destino, sem ser detectado, e mover-se lateralmente pelos endpoints, enquanto se preparam para roubar dados e implantar ransomware.

via: BleepingComputer (abre em uma nova guia)

fonte

Postagem anterior

Próximo Post

Windows Defender hackeado para implantar este perigoso ransomware

Software obrigatório em 2024

Categorias principais

Últimos comentários

Vídeo teaser do Samsung Galaxy Z Flip 5, antes do evento Galaxy Unpacked, mostra novo design de dobradiça e opções de cores

O Twitter está limitando o número de DMs que usuários não verificados podem enviar

Meu telefone Android favorito pode fazer coisas que meu iPhone 14 Pro Max não pode

O ChatGPT para Android será lançado na próxima semana e você pode fazer o pré-registro agora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A com Google TV, alto-falantes de 20W lançados na Índia: preço, especificações

Esta bateria comestível pode alimentar o mundo dos diagnósticos e da energia sustentável