Uma nova técnica bastante avançada para infetar sistema está a propagar-se em força em várias campanhas de malware, e utiliza algo tão simples como o registo de erros do Windows para infetar o mesmo.
De acordo com a descoberta de investigadores da empresa de segurança Huntress Labs, encontra-se a ser propagada uma nova campanha de malware para Windows que utiliza diretamente o registo de erros do Windows para infetar os sistemas, ocultando as atividades maliciosas no mesmo.
O ataque é bastante simples, mas ao mesmo tempo complexo no funcionamento. Basicamente o malware é capaz de criar um registo de erros falso no sistema operativo, o qual gera diversos erros no mesmo com conteúdo hexadecimal na parte final de cada entrada.
Estas entradas em hexadecimal são depois recolhidas por um script instalado no sistema hospedeiro da vitima, o qual converte o mesmo para um comando executável – e que, em ultima fase, vai levar ao ataque do sistema, por exemplo, através da execução de comandos na linha do Powershell.
Para os utilizadores, e para a maioria do software de segurança, o registo de erros seria algo tradicional de se encontrar, e não levantaria qualquer suspeita. No entanto, quando conjugado os resultados finais, poderia ser o suficiente para permitir a execução de código malicioso no sistema.
Esta técnica, apesar de simples, é bastante engenhosa do ponto de vista técnico, uma vez que permite evitar a deteção do ataque na sua origem – para o utilizador ou sistemas de segurança, trata-se apenas de um registo de erro no sistema, o que, por si só, não é malicioso.
Nenhum comentário
Seja o primeiro!