Una vez detrás del portal de Captive, la página inicia el indicador de instrucción Connectitive de prueba de Windows, un servicio legítimo que determina si el dispositivo tiene acceso a Internet enviando una solicitud para obtener http a hxxp: //www.msftconnecttest (.) Com/redirect. A su vez, el sitio redirige el navegador a MSN (.) Com. Como se explicó en la publicación del jueves:
Una vez que el sistema abre la ventana del navegador a esta dirección, el sistema redirige al dominio distinguido por el actor, que puede mostrar un error de verificación de certificado que invita al objetivo a descargar y ejecutar Apolloshadow. After the execution, Apolloshadow checks the level of privilege of the Processoken and if the device does not work on the default administrative parameters, the malware displays the Pop-Up (UAC) window (UAC) to invite the user to install certificates with the certificatedb.exe file, which obtains kaspersky privileges to install certificates root certificates and allows the actor to win raised privileges in the Kaspersky system to install root certificates and allow actores que obtienen privilegios abultados en el sistema.
La siguiente figura ilustra la cadena de infección:
Apoloshadow llamado GetTokenInformationType La API verifica si tiene suficientes derechos del sistema para instalar el certificado raíz. De lo contrario, el malware utilizará un proceso complejo que usurca la página en la página hxxp: //timestamp.diginert (.) Com/com/guardado, y luego envía el sistema a la segunda carga útil en forma de VBScript.
Después de decodificar, Apoloshadow se reinicia e introduce la ventana de control de acceso del usuario para mejorar el acceso a su sistema. (Microsoft proporcionó más detalles técnicos sobre tecnología de publicación el jueves).
Si Apolloshadow ya tiene suficientes permisos de sistema, el malware configurará el host para conectarse a una red privada.
“Esto causa varias modificaciones, especialmente a través de las reglas de firewall que permiten que los dispositivos de host sean descubiertos y relajados para permitir el intercambio de archivos”, dijo Microsoft. “Aunque no hemos visto ningún intento de intentar directamente el movimiento lateral, es probable que la razón principal para hacer estas modificaciones reduzca la dificultad del movimiento lateral en la red”. (Microsoft Post también proporciona detalles técnicos sobre esta tecnología).
Microsoft ha dicho que la capacidad de confiar en los dispositivos infectados para confiar en el malware permite a los actores de amenaza permanecer persistentes, posiblemente para la recopilación de información.
La compañía recomienda que todos los clientes que operan en Moscú, especialmente las organizaciones sensibles, se conectan a la confianza a través de túneles de túnel encriptados.
Enlace de origen
