Взлом утилиты «экранный диктор» для Windows дает полный контроль над системой

1

Взлом утилиты «экранный диктор» для Windows дает полный контроль над системой

Злоумышленники могут тайно управлять компьютерами на базе Windows через экраны удаленной авторизации рабочего стола.


Исследователи из компании Cylance обнаружили вредоносную кампанию, в рамках которой предположительно китайская киберпреступная группировка использовала поддельную версию утилиты «экранный диктор» (Narator) в компоненте Ease of Access для Windows. Целями атак стали технологические компании, использующие данную легитимную функцию NVIDIA.

Narrator («экранный диктор») представляет собой утилиту для Windows, которая вслух читает текст на экране для слабовидящих. Его можно вызвать на экране входа с помощью сочетания клавиш, который обеспечивает постоянный доступ на уровне системы.

Злоумышленники также используют образец вредоносного ПО с открытым исходным кодом, известный как бэкдор PcShare, для первоначального закрепления в системах жертв. Используя данные инструменты, злоумышленники могут без учетных данных тайно управлять компьютерами на базе Windows через экраны удаленной авторизации рабочего стола.

Атаки начинаются с доставки бэкдора PcShare жертвам посредством целенаправленных фишинговых атак (spear-phishing). По словам исследователей, инструмент был модифицирован и предназначен для работы при фоновой загрузке легитимным приложением NVIDIA. Как только злоумышленники получают права администратора в системе жертвы, они заменяют Narrator.exe вредоносной версией, которая дает им возможность запускать любую программу с системными привилегиями. Стоит пользователю включить поддельного «экранного диктора» на экране авторизации в систему с помощью Ease of Access, winlogon.exe запустит вредонос и предоставит привилегии SYSTEM.

После выполнения вредонос запустит легитимную утилиту, затем зарегистрирует класс окна («NARRATOR») и создаст окно («Narrator»). Данная процедура создает диалог с элементом управления редактирования и кнопкой «r», в то время как отдельный поток постоянно отслеживает нажатия клавиш. Если вредоносная программа обнаружит, что был введен определенный пароль (встроенный в файл в виде строки «showmememe»), он отобразит ранее созданный диалог, позволяя злоумышленнику указать команду или путь к файлу для выполнения с помощью элемента управления для редактирования.

Ввод заданного злоумышленником пароля позволяет создавать любой исполняемый файл с привилегиями SYSTEM на экране авторизации в систему. Данный метод в конечном итоге обеспечивает оболочке преступника персистентность в системе, не требуя настоящих учетных данных.