Um malware do Windows recentemente chamado JS_POWMET possui uma cadeia de infecção sem arquivos. Ele se instala sem deixar rastros no disco rígido, comprometendo o procedimento de autostart.
A Trend Micro divulgou em seu blog que a maioria dos programas de malware sem arquivos são tecnicamente apenas sem arquivo ao infectar o sistema de um usuário. Ao executar a principal carga maliciosa, eles geralmente terminam as suas ações.
Mas não JS_POWMET, que não deixa nenhuma evidência na máquina, tornando difícil para os pesquisadores analisá-la.
Em sua postagem no blog, a Trend Micro descreve que JS_POWMET é baixado como um arquivo XML com um JavaScript malicioso, por meio de uma entrada de registro autostart:
“Neste método, um URL foi passado como parâmetro ao regsvr32 [the Microsoft Register Server], o que tornará o regsvr32 capaz de buscar o arquivo na URL apontada. Devido a essa rotina, regsvr32 se tornará capaz de executar o Scripts sem salvar o arquivo XML na máquina / sistema. Em particular, sempre que a máquina afetada for iniciada, ele irá baixar automaticamente o arquivo malicioso de seu servidor de C&C (Command & Control)“, afirma o blog.
Fonte TrendLabs – JS_POWMET infection Diagram
Em seguida, JS_POWMET baixa um arquivo secundário, um script Powershell chamado TROJ_PSINJECT, que se conecta a um site do qual um arquivo chamado favicon é baixado. “O arquivo favicon será então descriptografado e injetado em seu processo usando o ReflectivePELoader, que é usado para injetar arquivos EXE / DLL“, continua a publicação do blog.
De acordo com pesquisadores da Trend Micro, quase 90% das infecções por JS_POWMET afetaram alvos na região da Ásia-Pacífico. Com toda a probabilidade, a maioria das infecções ocorrem devido a droppers de malware ou a visitar sites mal-intencionados.
Para mitigar tais ameaças, a Trend Micro recomenda o uso de sistemas baseados em contêineres para limitar o acesso à infraestruturas críticas, além de desativar o Powershell.
fonte SCMagazine & TrendLabs por MindSec 04/08/2017
Deixe sua opinião!