Μια πρόσφατα τεκμηριωμένη καμπάνια κακόβουλου λογισμικού δείχνει πώς οι εισβολείς αξιοποιούν τις συντομεύσεις LNK των Windows για να παραδώσουν το MastaStealer infostealer.
Η επίθεση ξεκινά με emails spear-phishing που περιέχουν αρχεία ZIP με ένα μόνο αρχείο LNK που εκτελεί μια διαδικασία μόλυνσης πολλαπλών σταδίων.
Όταν τα θύματα κάνουν κλικ στην κακόβουλη συντόμευση, εκκινεί τον Microsoft Edge ενώ ανοίγει την τοποθεσία Web του AnyDesk στο προσκήνιο για να φαίνεται νόμιμη.
Εν τω μεταξύ, στο παρασκήνιο, το αρχείο LNK κατεβάζει και εκτελεί σιωπηλά ένα πρόγραμμα εγκατάστασης MSI από έναν παραβιασμένο τομέα.
Η αλυσίδα μόλυνσης αποκαλύπτει εξελιγμένες τεχνικές αποφυγής. Το πρόγραμμα εγκατάστασης MSI εξάγει το ωφέλιμο φορτίο του σε μια δομή κρυφού καταλόγου στο %LOCALAPPDATA%\Temp\MW-\files.cab, στη συνέχεια αποσυμπιέζει τα περιεχόμενα και ρίχνει το πραγματικό σήμα C2 στο %LOCALAPPDATA%\Microsoft\Windows\dwm.exe.
Αυτό το όνομα αρχείου μιμείται τις νόμιμες διαδικασίες του Windows Display Window Manager, καθιστώντας τον εντοπισμό πιο δύσκολο για τα εργαλεία ασφαλείας.
Η καμπάνια παρέκαμψε με επιτυχία τις παραδοσιακές μεθόδους ανίχνευσης μέσω προσεκτικής τοποθέτησης αρχείων και συμβάσεων ονομασίας διεργασιών.
Maurice Fielenbach, αναλυτής Infosec Research and Security Trainings, αναγνωρισθείς αυτή η μόλυνση μετά την ανακάλυψη αρχείων καταγραφής συμβάντων του Windows Installer που εμφανίζουν αποτυχίες Application Event ID 11708.
Η ειδοποίηση ενεργοποιήθηκε επειδή ο παραβιασμένος χρήστης δεν είχε δικαιώματα τοπικού διαχειριστή, με αποτέλεσμα η ανάπτυξη του MSI να αποτύχει απροσδόκητα.
Αυτή η αποτυχία, κατά ειρωνικό τρόπο, έσωσε το σύστημα από τον πλήρη συμβιβασμό και αποκάλυψε την επίθεση στους αμυντικούς.
Εξαίρεση Defender που βασίζεται σε PowerShell
Η πιο κρίσιμη πτυχή αυτής της καμπάνιας περιλαμβάνει την εντολή PowerShell που εκτελείται κατά την εγκατάσταση για την απενεργοποίηση των προστασιών του Windows Defender.
Το κακόβουλο λογισμικό εκτελεί την ακόλουθη εντολή για να δημιουργήσει μια διαδρομή αποκλεισμού για τον φάρο C2 του: Add-MpPreference -ExclusionPath "C:\Users\admin\AppData\Local\Microsoft\Windows\dvm.exe".
Αυτή η μεμονωμένη εντολή καταργεί τη σάρωση του Windows Defender σε πραγματικό χρόνο για το εκτελέσιμο λογισμικό κακόβουλου λογισμικού, επιτρέποντάς του να επικοινωνεί ελεύθερα με διακομιστές εντολών και ελέγχου στο cmqsqomiwwksmcsw[.]xyz (38.134.148.74) και ykgmqooyusggyyya[.]xyz (155.117.20.75).
Η τεχνική δείχνει πώς οι εισβολείς παρακάμπτουν τη σύγχρονη προστασία τελικού σημείου εκμεταλλευόμενοι τις νόμιμες δυνατότητες διαχείρισης των Windows αντί να εξαναγκάζουν τον δρόμο τους μέσω των ελέγχων ασφαλείας.
Οι οργανισμοί θα πρέπει να παρακολουθούν για ασυνήθιστη εκτέλεση του PowerShell με παραμέτρους MpPreference και να εφαρμόζουν τη λίστα επιτρεπόμενων εφαρμογών για να αποτρέπουν μη εξουσιοδοτημένες τροποποιήσεις του Defender.
