Microsoft avertizează cu privire la noul ransomware StilachiRAT
Sursă: https://cybersecuritynews.com/
Microsoft a emis o atenționare de securitate cu privire la o tulpină malware recent descoperită, denumită StilachiRAT, care vizează în mod specific și exfiltrează date din sesiunile RDP (Remote Desktop Protocol).
Specialiștii în securitate avertizează că această nouă amenințare dispune de capacități avansate de captare a credențialelor, a tastelor și chiar de deturnare a sesiunilor RDP în desfășurare, fără a fi detectată.
Infectarea inițială are loc, de obicei, prin e-mailuri de phishing care conțin fișiere atașate malițioase sau prin intermediul unor site-uri web compromise care furnizează kit-uri de exploatare.
Odată executat pe sistemul utilizatorului, StilachiRAT stabilește persistența prin crearea unui task programat care rulează la pornirea sistemului și modificarea cheilor de registry pentru a se asigura că rămâne nedetectat de soluțiile de securitate.
Specialiștii Microsoft Security au identificat infrastructura de comandă și control caracteristică malware-ului, care utilizează o combinație de tunneling DNS criptat și callback-uri HTTPS pentru exfiltrarea datelor sustrase.
Analiza sistemelor infectate a arătat că StilachiRAT utilizează tehnici anti-analiză avansate, inclusiv capacități de detectare a mașinilor virtuale și de eludare a debugger-ului.
Funcția principală a malware-ului se concentrează pe interceptarea datelor sesiunii RDP prin conectarea la API-ul Windows Remote Desktop Services.
Acest lucru îi permite să captureze datele de autentificare, să monitorizeze activitățile sesiunii și chiar să înregistreze sesiuni întregi la distanță pentru a fi analizate ulterior de atacatori.
Ceea ce face ca StilachiRAT să fie deosebit de periculos este capacitatea sa de a funcționa în mod silențios, fără a întrerupe conexiunile utilizatorilor legitimi.
Principala funcție de deturnare a sesiunii RDP a StilachiRAT este implementată printr-o tehnică numită API hooking.
Programul malware se inserează în procesul mstsc.exe și interceptează funcțiile legate de gestionarea și criptarea credențialelor.
Microsoft recomandă implementarea autentificării multi-factor pentru conexiunile RDP, restricționarea accesului RDP la rețele de încredere, menținerea sistemelor complet verificate și implementarea soluțiilor de detectare și gestionarea a endpoint-urilor capabile să identificate tehnici de conectare API.
Sursă: https://cybersecuritynews.com/microsoft-warns-of-new-stilachirat/
