Microsoft ha scoperto un nuovo malware chiamato Tarrask che utilizza attività pianificate nascoste per rimuovere gli attributi delle attività e nascondersi dai tradizionali mezzo di identificazione allo scopo di infettare i software degli utenti per rubare i dati più importanti.

Windows Task Scheduler è un servizio che consente agli utenti di eseguire attività automatizzate (attività pianificate) su un computer prescelto per scopi amministrativi legittimi come, ad esempio, aggiornamenti pianificati per browser e altre applicazioni.

Gli esperti hanno riscontrato che gli attori delle minacce utilizzano comunemente questo servizio per mantenere la persistenza all’interno di un ambiente Windows e che il malware Tarrask genera diversi artefatti durante la creazione di un’attività pianificata, utilizzando la Task Scheduler GUI (Utilità di pianificazione) o l’utilità della riga di comando schtasks.

Tarrask sfrutta quindi la funzionalità Task Scheduler per creare un’attività pianificata denominata “WinUpdate” per ristabilire eventuali connessioni interrotte alla propria infrastruttura di comando e controllo (C&C). Ciò comporta la creazione di chiavi di registro corrispondenti al task, tuttavia, l’attore della minaccia riesce a nascondersi eliminando il valore SD della chiave di registro.

Il gruppo dietro Tarrask è stato individuato da Microsoft nell’attore delle minacce cinese HAFNIUM, gruppo che gli esperti hanno osservato da agosto 2021 a febbraio 2022 rivolgersi ai settori delle telecomunicazioni, dei provider di servizi Internet e dei servizi di dati (espandendo quindi i settori mirati osservati dalle loro precedenti operazioni condotte nella primavera del 2021).

“Gli attacchi che abbiamo descritto indicano come l’attore delle minacce HAFNIUM mostri una comprensione unica del sottosistema Windows e utilizzi questa esperienza per mascherare le attività sugli endpoint mirati per mantenere la persistenza sui sistemi interessati e nascondersi in bella vista”, si legge nel report.

“Pertanto, riconosciamo che le attività programmate sono uno strumento efficace per gli avversari per automatizzare determinate attività ottenendo al contempo la persistenza, il che ci porta a sensibilizzare su questa tecnica spesso trascurata. Vogliamo anche attirare l’attenzione sul fatto che gli attori delle minacce possono utilizzare questo metodo di evasione per mantenere l’accesso a obiettivi di alto valore in un modo che probabilmente non verrà rilevato”, comunicano gli esperti di Microsoft.

 

https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE