Hackers estão adicionando funcionalidades maliciosas aos arquivos autoextraíveis do WinRAR que contêm arquivos de isca inofensivos, permitindo que eles plantem backdoors sem disparar o agente de segurança no sistema alvo.
Arquivos autoextraíveis (SFX) criados com softwares de compressão como WinRAR ou 7-Zip são essencialmente executáveis que contêm dados arquivados juntamente com um stub de descompressão embutido (o código para descompactar os dados).
Os arquivos SFX podem ser protegidos por senha para evitar o acesso não autorizado.
O objetivo dos arquivos SFX é simplificar a distribuição de dados arquivados para usuários que não possuem uma ferramenta para extrair o pacote.
Pesquisadores da empresa de cibersegurança CrowdStrike detectaram o abuso do SFX durante uma recente investigação de resposta a incidentes.
A análise da CrowdStrike descobriu um adversário que usou credenciais roubadas para abusar do 'utilman.exe' e configurá-lo para lançar um arquivo SFX protegido por senha que havia sido plantado no sistema anteriormente.
Utilman é um aplicativo de acessibilidade que pode ser executado antes do login do usuário, frequentemente abusado por hackers para contornar a autenticação do sistema.
O arquivo SFX acionado pelo utilman.exe é protegido por senha e contém um arquivo de texto vazio que serve como isca.
A verdadeira função do arquivo SFX é abusar das opções de configuração do WinRAR para executar o PowerShell, o prompt de comando do Windows (cmd.exe) e o gerenciador de tarefas com privilégios de sistema.
Ao analisar mais de perto a técnica utilizada, Jai Minton da CrowdStrike descobriu que o atacante havia adicionado vários comandos para serem executados após o alvo extrair o arquivo de texto arquivado.
Embora não haja malware no arquivo, o ator da ameaça adicionou comandos no menu de configuração para criar um arquivo SFX que abriria uma backdoor no sistema.
Como visto na imagem acima, os comentários mostram que o atacante personalizou o arquivo SFX para que não haja diálogo e janela exibidos durante o processo de extração.
O ator da ameaça também adicionou instruções para executar o PowerShell, prompt de comando e gerenciador de tarefas.
O WinRAR oferece um conjunto de opções avançadas do SFX que permitem adicionar uma lista de executáveis para serem executados automaticamente antes ou depois do processo, bem como sobrescrever arquivos existentes na pasta de destino se as entradas com o mesmo nome existirem.
"Porque este arquivo SFX poderia ser executado a partir da tela de logon, o adversário efetivamente tinha uma backdoor persistente que poderia ser acessada para executar o PowerShell, o prompt de comando do Windows e o gerenciador de tarefas com privilégios NT AUTHORITY\SYSTEM, desde que a senha correta fosse fornecida", explica a CrowdStrike.
"Este tipo de ataque é provável que permaneça indetectado por software antivírus tradicional que está procurando por malware dentro de um arquivo (que muitas vezes também é protegido por senha), em vez do comportamento de um stub de descompressão de arquivo SFX", acrescentam os pesquisadores.
A CrowdStrike afirma que arquivos SFX maliciosos são improváveis de serem detectados por soluções de AV tradicionais.
Em nossos testes, o Windows Defender reagiu quando criamos um arquivo SFX personalizado para executar o PowerShell após a extração.
O agente de segurança da Microsoft detectou o executável resultante como um script malicioso rastreado como Wacatac e o colocou em quarentena.
No entanto, registramos essa reação apenas uma vez e não conseguimos replicá-la.
Os pesquisadores aconselham os usuários a prestarem atenção especial aos arquivos SFX e usarem o software apropriado para verificar o conteúdo do arquivo e procurar scripts ou comandos potenciais agendados para serem executados após a extração.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...