Hackers verfijnen hun aanvallen voortdurend om hun doelen te bereiken. We weten al dat er veel soorten malware zijn die onze gegevens en wachtwoorden kunnen stelen, de privacy in gevaar kunnen brengen of de goede werking van systemen in gevaar kunnen brengen. Nu moet worden opgemerkt dat we tal van beveiligingshulpmiddelen kunnen gebruiken om onszelf te beschermen. Het probleem is dat deze aanvallers ook in veel gevallen beschermingsmaatregelen kunnen omzeilen. In dit artikel herhalen we PowerPepper , een nieuwe malware die antivirusbescherming ontwijkt om aan te vallen Windows.
PowerPepper, de malware die de antivirus omzeilt
Windows is het meest gebruikte besturingssysteem op desktopcomputers. Dit zorgt ervoor dat cybercriminelen hier hun zinnen zetten om kwaadaardige software te maken die dit soort apparaten kan infecteren. Soms kun je zelfs de veiligheidsbarrières overslaan, die voor ons steeds vaker beschikbaar zijn.
Dit is wat er gebeurt met PowerPepper, een nieuwe malware gemaakt door de DoodStalker groep die in staat is om de Windows-antivirus te omzeilen om het systeem aan te vallen. Volgens de groep beveiligingsonderzoekers die we echoën, hebben de aanvallers een nieuwe malvertisingcampagne opgezet om deze malware te leveren.
Wat ze doen is hun inhoud op een verborgen manier hosten op services die zo populair zijn als YouTube or Twitter om de slachtoffers te bereiken. Het meest bijzondere aan deze kwestie is echter dat het erin slaagt beveiligingsmaatregelen te omzeilen. Hierdoor kunnen ze passeren zonder te worden gedetecteerd als een bedreiging.
Beveiliging onderzoekers geven aan dat PowerPepper benut DNS via HTTPS als een C2-kanaal. Je hebt Spear Phishing-aanvallen gebruikt. Op deze manier weten ze het slachtoffer te bereiken en een Word-document te gebruiken dat de payload bevat.
PowerShell-achterdeur
Deze malware is een PowerShell-achterdeur in Windows-geheugen en kan op afstand worden uitgevoerd. Het maakt gebruik van verschillende technieken, waaronder het detecteren van muisbewegingen, het filteren van MAC-adressen en het ontwijken van antivirusprogramma's.
Het commando- en controleserver die voor deze campagne wordt gebruikt, is afhankelijk van communicatie via DNS via HTTPS. Om een DoH-verzoek aan een C2-server tot stand te brengen, probeert PowerPepper in eerste instantie het Microsoft Excel-programma als een webclient en keert vervolgens terug naar de standaard PowerShell-webclient.
Om ons tegen dit probleem te beschermen is het erg belangrijk om te behouden systemen en apparaten naar behoren bijgewerkt . Beveiligingsonderzoekers raden aan dat website-eigenaren hun CMS en alle geïnstalleerde plug-ins regelmatig bijwerken om PowerShell te vermijden.
Daarnaast, gezond verstand is essentieel. Het is erg belangrijk dat we geen fouten maken die kunnen leiden tot het binnendringen van dit soort kwaadaardige software. We hebben gezien dat ze gebruiken Microsoft Word bestanden om de payload te belasten en computers te infecteren. Dit soort bedreigingen kan binnenkomen via kwaadaardige e-mails, met bijlagen die we onbewust downloaden en dat kan een aanzienlijk probleem zijn. Daarom moeten we dit soort fouten altijd vermijden.
In een artikel hebben we besproken waarom antivirus niet genoeg is om ons op het netwerk te beschermen. We moeten altijd rekening houden met alle noodzakelijke beveiligingsmaatregelen om problemen te voorkomen.