TidePool

Por CagedTech em Backdoors

TidePool é o nome de uma família de ferramentas de malware, exibindo características normalmente encontradas nas RATs (Ferramentas de Acesso Remoto). As Ferramentas de Acesso Remoto permitem que uma ampla gama de atividades ameaçadoras seja executada na máquina de destino, incluindo acesso de leitura e gravação a arquivos, além de executar comandos no sistema da vítima.

O TidePool geralmente está contido em um arquivo MHTML infectado - essencialmente, um formato mais rico que permite que uma página da Web inteira seja armazenada em um único arquivo. O TidePool explora a vulnerabilidade de arquivo ESP malformado do MS Office. O malware descarta um arquivo DLL em C:\Documents e Setting\AllUsers\IEHelper\mshtml.dll e protege a persistência. O próximo passo é enviar informações sobre o sistema da vítima ao servidor de Comando e Controle dos maus atores. Depois que essa conexão é estabelecida, o malware do TidePool se comporta como uma Ferramenta de Acesso Remoto comum, executando os comandos que o mau ator do outro lado alimenta.

Os pesquisadores também descobriram certas alterações no Registro que o TidePool faz e compartilha com os membros da família de malware BS2005 - outra ferramenta ameaçadora usada pelos maus atores do grupo Ke3chang chinês, as mesmas pessoas que também estavam por trás de ataques usando o TidePool. Isso indica que o TidePool provavelmente é uma versão evoluída do malware BS2005. Uma alteração importante no registro foi trocar o valor de "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IEHarden" por zero. Isso desativa a configuração de segurança aprimorada do Internet Explorer, permitindo que um grande número de componentes e códigos potencialmente perigosos seja executado através do navegador. Essas descobertas foram feitas por pesquisadores que trabalham com a Unidade 42 da Palo Alto Networks.

Apesar da diminuição no uso do Internet Explorer nos últimos anos, manter-se seguro contra ameaças como o TidePool geralmente envolve uma camada extra de proteção, como o uso de um conjunto antimalware dedicado, atualizado e sempre ativo.

Tendendo

Mais visto

Carregando...