- Detections per lo più euristiche
- Creazione di oggetti mutex
- Child execution con la funzione WinExec
- Esecuzione rundll32
- DLL relativa a componenti NVIDIA non firmata correttamente
- Mutex sospetto relativo a threats Backdoor:Win32/Temratanam.A
Introduzione
Nella presente analisi è stata presa in considerazione la libreria powrprof.dll (Hash: dc9385b83a139db8606f4f9cb8d7d8d8e0aeac2dd963f03a669f231ef6deb951), la quale viene identificata dalle fonti OSINT principalmente a causa di detections di natura euristica e comportamentale, nonché di machine learning algorithms. Solo Microsoft di recente ha provveduto a classificarlo con la firma Trojan:Win32/FavLoader.A!MTB.
Nel caso specifico, la DLL powrprof.dll inizializzava un contesto di DLL child execution prendendo in considerazione il file favicon.jpg, il quale si maschera dietro una falsa immagine, tuttavia esso fa riferimento ad una libreria DLL. Il Portable Executable in questione è relativo ad un componente di schede video NVIDIA avente un certificato non verificato, vi è inoltre contezza di un mutex relativo a Backdoors threats.
Tale tipologia di threat è definibile “Malicious DLL as a Service” in quanto in un’ottica di threat development e threat landscape la libreria DLL eseguita in seconda istanza favicon.jpg può essere sostituita potenzialmente con una qualsiasi tipologia di minaccia, come ad esempio Ransomware o Remote Access Trojans.
Approfondisci l’analisi: