Malware JS_POWMET é Completamente SEM Arquivo

Um malware do Windows recentemente chamado JS_POWMET possui uma cadeia de infecção sem arquivos. Ele se instala sem deixar rastros no disco rígido, comprometendo o procedimento de autostart.

A Trend Micro divulgou em seu blog que  a maioria dos programas de malware sem arquivos são tecnicamente apenas sem arquivo ao infectar o sistema de um usuário. Ao executar a principal carga maliciosa, eles geralmente terminam as suas ações.

Mas não JS_POWMET, que não deixa nenhuma evidência na máquina, tornando difícil para os pesquisadores analisá-la.

Em sua postagem no blog, a Trend Micro descreve que JS_POWMET é baixado como um arquivo XML com um JavaScript malicioso, por meio de uma entrada de registro autostart:

Neste método, um URL foi passado como parâmetro ao regsvr32 [the Microsoft Register Server], o que tornará o regsvr32 capaz de buscar o arquivo na URL apontada. Devido a essa rotina, regsvr32 se tornará capaz de executar o Scripts sem salvar o arquivo XML na máquina / sistema. Em particular, sempre que a máquina afetada for iniciada, ele irá baixar automaticamente o arquivo malicioso de seu servidor de C&C (Command & Control)“, afirma o blog.

Figure 1

Fonte TrendLabs – JS_POWMET infection Diagram

Em seguida, JS_POWMET baixa um arquivo secundário, um script Powershell chamado TROJ_PSINJECT, que se conecta a um site do qual um arquivo chamado favicon é baixado. O arquivo favicon será então descriptografado e injetado em seu processo usando o ReflectivePELoader, que é usado para injetar arquivos EXE / DLL“, continua a publicação do blog.

De acordo com pesquisadores da Trend Micro, quase 90% das infecções por JS_POWMET afetaram alvos na região da Ásia-Pacífico. Com toda a probabilidade, a maioria das infecções ocorrem devido a droppers de malware ou a visitar sites mal-intencionados.

Para mitigar tais ameaças, a Trend Micro recomenda o uso de sistemas baseados em contêineres para limitar o acesso à infraestruturas críticas, além de desativar o Powershell.

fonte  SCMagazine & TrendLabs

por MindSec   04/08/2017
About mindsecblog 208 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.