Old Windows Mock Folders UAC bypass used to drop malware
แคมเปญฟิชชิ่งใหม่ได้กำหนดเป้าหมายองค์กรในประเทศยุโรปตะวันออกด้วยมัลแวร์ Remcos RAT โดยสามารถบายพาสการควบคุมบัญชีผู้ใช้ Windows แบบเก่าที่ค้นพบเมื่อสองปีที่แล้ว อีเมลแคมเปญฟิชชิ่งที่ถูกส่งจะเป็นใบแจ้งหนี้และเอกสารทางการเงินอื่นๆ ซึ่งในอีเมลที่ส่งมาจะมีไฟล์ tar.lz แนบด้วยมาเพื่อเรียกใช้ DBatLoader ในขั้นแรกมัลแวร์จะปลอมแปลงเป็นเอกสาร Microsoft Office, LibreOffice หรือ PDF โดยใช้ double extensions และไอคอนแอปเพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อเหยื่อเปิดไฟล์แล้วเพย์โหลดในขั้นที่สองจะถูกดึงมาจาก cloud service เช่น Microsoft OneDrive หรือ Google Drive ก่อนที่จะทำการดาวน์โหลดมัลแวร์ Remcos RAT นั้น DBatLoader จะสร้างและเรียกใช้สคริปต์แบตช์ของ Windows เพื่อใช้วิธีการบายพาส Windows UAC ที่บันทึกไว้ในปี 2020
วิธีการนี้ถูกพบครั้งแรกใน Windows 10 โดยนักวิจัยด้านความปลอดภัย Daniel Gebert เกี่ยวข้องกับการ hijacking โดยใช้ไฟล์ DLL และใช้การจำลองไดเร็กทอรีที่เชื่อถือได้เพื่อเลี่ยงผ่าน Windows UAC เพื่อเรียกใช้โค้ดที่เป็นอันตรายโดยไม่แจ้งผู้ใช้ Windows UAC เป็นกลไกการป้องกันของ Microsoft ที่เปิดตัวใน Windows Vista โดยขอให้ผู้ใช้ยืนยันการทำงานของแอปพลิเคชันที่มีความเสี่ยงสูง เช่น C:WindowsSystem32 ได้รับความไว้วางใจจาก Windows ทำให้ไฟล์ปฏิบัติการไม่ต้องแสดงข้อความแจ้ง UAC ไดเร็กทอรีจำลองนี้คือไดเร็กทอรีเลียนแบบที่มีช่องว่างต่อท้าย ตัวอย่างเช่น C:WindowsSystem32 เป็นโฟลเดอร์ที่ถูกต้องและถือเป็นตำแหน่งที่เชื่อถือได้ใน Windows ไดเรกทอรีจำลองจะมีลักษณะดังนี้ C:Windows System32 โดยมีช่องว่างเพิ่มเติมหลังจาก C:Windows สคริปต์ที่ใช้โดย DBatLoader ในกรณีนี้ได้สร้างไดเรกทอรีจำลองที่เชื่อถือได้ในลักษณะเดียวกัน โดยการสร้างโฟลเดอร์ C:Windows System32 และคัดลอกโปรแกรมปฏิบัติการที่ถูกต้องในที่นี้คือ easinvoker.exe และไฟล์ DLL ที่เป็นอันตราย netutils.dll easinvoker.exe เป็นไฟล์ปฏิบัติการที่สามารถยกระดับอัตโนมัติ ซึ่งหมายความว่า Windows จะยกระดับกระบวนการนี้โดยอัตโนมัติโดยไม่ต้องแสดงข้อความแจ้ง UAC หากอยู่ในไดเร็กทอรีที่เชื่อถือได้
นอกจากนี้ตัวโหลดมัลแวร์จะเพิ่มสคริปต์ที่เป็นอันตราย KDECO.bat ที่ซ่อนอยู่ในไฟล์ DLL ซึ่งจะถูกเพิ่มไปยังรายการยกเว้นใน Defender ของ Microsoft จากนั้นจึงสร้างการคงอยู่สำหรับมัลแวร์ Remcos RAT โดยการสร้าง registry key ใหม่ หลังจากนั้นมัลแวร์ Remcos RAT จะดำเนินการ process injection โดยการกำหนดค่าด้วยความสามารถในการบันทึก keylogging และ screenshot-snapping Sentinel One แนะนำให้ผู้ดูแลระบบกำหนดค่า Windows UAC เป็น Always Notify นอกจากนี้ผู้ดูแลระบบควรตรวจสอบการสร้างไฟล์ที่น่าสงสัยหรือดำเนินการตามเส้นทางระบบไฟล์ที่เชื่อถือได้โดยมีช่องว่างต่อท้าย โดยเฉพาะโฟลเดอร์ที่มีสตริง Windows
https://www.bleepingcomputer.com/news/security/old-windows-mock-folders-uac-bypass-used-to-drop-malware/