Uma tecnologia de prevenção de exploit da Kaspersky Lab foi capaz de detectar a tentativa de aproveitar uma vulnerabilidade desconhecida do sistema operativo Windows da Microsoft.
O cenário do ataque foi o seguinte: uma vez que o ficheiro malicioso .exe foi executado, começou a instalação do malware.
A infecção utilizou uma vulnerabilidade zero-day e conseguiu fazer-se com privilégios para permanecer dentro do equipamento da vítima.
Utilizando um marco de scripting chamado Windows PowerShell, um elemento legítimo do Windows presente em todas as máquinas que utilizam este sistema operativo, o malware executou um backdoor. Isto permitiu aos hackers uma actuação silenciosa, bem como o evitar da detecção, ficando com tempo na etapa do código das ferramentas maliciosas.
O malware, em continuação, descarregou outro backdoor a partir do conhecido serviço de armazenamento de texto, dando aos hackers o controlo total sobre o sistema infectado. A Microsoft foi informada da vulnerabilidade a 10 de Abril e já disponibilizou um patch.
“No ataque pudemos observar duas tendências principais que por vezes vemos nas APT (Ameaças Persistentes Avançadas). Primeiro, está o uso de expoits com privilégios locais para permanecer dentro da máquina da vítima. Segundo, está o uso de elementos legítimos, como o Windows PowerShell, para levar a cabo actividades maliciosas dentro da máquina da vítima. A combinação de ambas dá aos hackers a capacidade de evitar as soluções de segurança standard. Para detectar este tipo de técnicas, a solução de segurança deve utilizar motores de prevenção de vulnerabilidades e de detecção de comportamentos”, explicou Anton Ivanov, especialista de segurança na Kaspersky Lab.
Via: Kaspersky Lab.