La última revisión del troyano Trickbot, que el equipo de Morphisec Labs detectó en nuevas muestras, aprovecha el Bypass de Windows 10 WSReset UAC para eludir el control de la cuenta del usuario y entregar su carga útil en las máquinas de los usuarios.

El proceso de omisión de WSReset UAC comienza con la comprobación de Trickbot para ver si el sistema en el que se ejecuta está ejecutando Windows 7 o Windows 10. Si se ejecuta con Windows 7, utilizará la omisión de CMSTPLUA UAC (el mismo que en las muestras anteriores). Es solo cuando el sistema ejecuta Windows 10 que Trickbot usa el Bypass WSReset UAC

Luego de realizar diversas funciones desde escalar privilegios con la propiedad “autoElevate” y utilizar “reg.exe” para agregar las claves relevantes que le permiten utilizar el Bypass WSReset UAC. Triclbot, ejecuta  WSReset.exe, lo que hará que Trickbot se ejecute con privilegios elevados sin una solicitud de UAC. Trickbot hace eso usando la API ‘ShellExecuteExW’. Este ejecutable final permite a Trickbot entregar su carga útil en estaciones de trabajo y otros puntos finales.

Puntos objetivos de la amenaza

  • Todos los usuarios con sistemas operativos en Windows 10.
  • Sobre todo, aquellos que tienen accesos para instalar programas en las PC’s, los procesos mencionados en esta alerta pueden ser instalados en el sistema a través de programas descargados de páginas web no confiables.

Nuestras recomendaciones

  • A todos los usuarios que usan sistemas Windows y estén presentando una lentitud inusual, reportarlo con su área de sistemas inmediatamente.
  • Además, siempre evitar la instalación de programas gratuitos que se encuentran en internet, muchos de ellos incluyen virus.
  • Al equipo de Tecnología, se recomienda bloquear los IoC mencionados en los dispositivos de seguridad correspondientes.
  • Limitar los privilegios de instalaciones de programas en las PC’s y el acceso a páginas web de descarga de programas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .