Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 11/10/2016
Udviklere af skadelig software har fundet en ny metode til at få malware til at se tilforladelig ud. De udnytter Windows Troubleshooting Platform, der er beregnet til at hjælpe brugere med at løse computerproblemer.Sikkerhedsfirmaet Proofpoint har set metoden anvendt til at sprede det skadelige program LatentBot.
I det konkrete eksempel ankom truslen som et vedhæftet Word-dokument i en e-mail. Teksten i dokumentet vises med tegn, der ikke kan læses. En besked øverst i dokumentet foreslår brugeren at dobbeltklikke på et link for automatisk at genkende tegnsættet.
Hvis brugeren gør det, åbnes et indlejret OLE-objekt, der er en digitalt signere fil med filtypen DIAGCAB. Det er et filformat, som Windows Troubleshooting Platform anvender.
Så åbner Windows Troubleshooting Platform og tilbyder muligheden for at detektere tegnkodning. Brugeren ser ikke, at programmet i baggrunden henter og installerer LatentBot.
I det eksempel, Proofpoint har fundet, er DIAGCAB-filen signeret med et kodesigneringscertifikat. Det tilhører et firma, der ikke har noget med malwaren at gøre, certifikatet er sandsynligvis stjålet.
Proofpoint skriver, at metoden gør det vanskeligt at opdage infektionen, idet mange sandkasseprodukter ikke vil registrere den.
Anbefaling
Undlad at åbne dokumenter, du får tilsendt uopfordret.