image

Malware verspreid via Windows Troubleshooting Platform

maandag 10 oktober 2016, 14:28 door Redactie, 2 reacties

Aanvallers hebben het Windows Troubleshooting Platform (WTP) in combinatie met social engineering gebruikt om malware te verspreiden. Het WTP is oorspronkelijk bedoeld om problemen met Windows op te lossen. Via het platform kunnen gebruikers "packs" downloaden om problemen te verhelpen.

Beveiligingsbedrijf Proofpoint ontdekte onlangs een aanval waarbij het WTP werd gebruikt om gebruikers malware te laten downloaden. De aanval begint met een Word-document waarvan de inhoud onleesbaar is. Het document vraagt de gebruiker om de benodigde karakterset te detecteren. In werkelijkheid wijst de link hiervoor naar een kwaadaardig pack voor het Windows Troubleshooting Platform, dat met een gestolen certificaat van een bedrijf is gesigneerd.

Zodra de gebruiker de link in het document opent verschijnt er een melding van het WTP om de problemen te verhelpen. Als de gebruiker hiermee akkoord gaat voor het pack een script uit dat onzichtbaar voor de gebruiker malware op de computer installeert. Via de malware hebben aanvallers volledige controle over de computer. Volgens Proofpoint weten aanvallers op deze manier beveiligingssoftware te omzeilen, omdat de kwaadaardige activiteiten buiten het bestand plaatsvinden dat het WTP-pack downloadt, wat detectie bemoeilijkt.

Image

Reacties (2)
10-10-2016, 15:58 door SecGuru_OTX
Toch de onderstaande IOC's maar zelf op de blacklist gezet, detectie ratio is nog steeds erg laag.

FileHash-SHA256,"0c3378468fecaf7885f15be0aed9b3a369d4aa66a0b0600c4362defa6997061d",""
FileHash-SHA256,"ec079e8946d1109395f230220d5cf9fcb93f98052edfe4eb11fe0da952843653",""
FileHash-SHA256,"5cb5cfaec916d00dee34eb1b940f99a1a132307efea3a6315c81c82cf7844c91",""
FileHash-SHA256,"aadaf09aabd2825feb493320b2a1989e776f7dd5aa9f0e3680911bdf0a2cf4c1",""
FileHash-SHA256,"b8561613832dce2f24b39dedeae3d66d4269f8ca0e8f490a64a1901303b77fcd",""
FileHash-SHA256,"ad15caf6071c5da93233a13806077ac82a5f9217d58cc2f3e08338574f5e79af",""
URL,"hxxp://mnmassagetherapy.com/wp-content/uploads/2016/04/lib.exe&amp#39
URL,"hxxp://mnmassagetherapy.com/wp-content/uploads/2016/04/88th0310_nw.exe",""
URL,"hxxp://vipfarma.ru/images/tab/vip_upd/like/zlib.exe",""
IPv4,"89.35.178.112",""
11-10-2016, 12:06 door Anoniem
"De aanval begint met een Word-document waarvan de inhoud onleesbaar is. Het document vraagt de gebruiker om de benodigde karakterset te detecteren."


Nog steeds kan ik niet begrijpen dat als mensen een onleesbaar document openen dan maar zo makkelijk extra zaken gaan downloaden om het dan maar wel te kunnen lezen? Blijkbaar is er al iets mis met het document...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.