Una vez detrás del portal cautivo, la página inicia el indicador de estado de conectividad de prueba de Windows, un servicio legítimo que determina si un dispositivo tiene acceso a Internet al enviar una solicitud HTTP para obtener a Hxxp: //www.msftconnectTest[.]com/redirección. Ese sitio, a su vez, redirige el navegador a MSN[.]com. Como explicó la publicación del jueves: una vez que el sistema abre la ventana del navegador a esta dirección, el sistema se redirige a un dominio separado controlado por el actor que probablemente muestra un error de validación de certificado que solicita al objetivo que descargue y ejecute Apolloshadow. Después de la ejecución, Apolloshadow verifica el nivel de privilegio del proceso de proceso y si el dispositivo no se ejecuta en la configuración administrativa predeterminada, entonces el malware muestra la ventana emergente de control de acceso del usuario (UAC) para pedirle al usuario instalar certificados con el nombre de archivo certificadob.exe, que se basa como un kaspersky un kaspersky instalar certificados raíz y permitir que el actor obtenga el actor elevado en el sistema. El siguiente diagrama ilustra la cadena de infección: Apolloshadow invoca la API GetTokenInformationType para verificar si tiene suficientes derechos del sistema para instalar el certificado raíz. Si no, el malware utiliza un proceso sofisticado que falsifica una página en hxxp: //timestamp.digicert[.]com/registrado, que a su vez envía al sistema una carga útil de la segunda etapa en forma de un VBScript. Una vez decodificado, Apolloshadow se relanza y presenta al usuario una ventana de control de acceso al usuario que busca elevar el acceso de su sistema. (Microsoft proporcionó muchos más detalles técnicos sobre la técnica en la publicación del jueves). Si Apolloshadow ya tiene suficientes derechos del sistema, el malware configura todas las redes a las que el host se conecta como privado. «Esto induce varios cambios, incluido el permiso del dispositivo host se vuelve las reglas de firewall descubiertas y relajantes para habilitar el intercambio de archivos», explicó Microsoft. «Si bien no vimos ningún intento directo para el movimiento lateral, es probable que la razón principal de estas modificaciones reduzca la dificultad del movimiento lateral en la red». (Microsoft Post también proporcionó detalles técnicos sobre esta técnica). Microsoft dijo que la capacidad de hacer que los dispositivos infectados confíen en los sitios maliciosos permitan al actor de amenaza mantener la persistencia, probablemente para su uso en la recolección de inteligencia. La compañía está asesorando a todos los clientes que operan en Moscú, particularmente organizaciones sensibles, que túnan su tráfico a través de túneles encriptados que se conectan a un ISP confiable.
Deja una respuesta