Aanvallers hebben het Windows Troubleshooting Platform (WTP) in combinatie met social engineering gebruikt om malware te verspreiden. Het WTP is oorspronkelijk bedoeld om problemen met Windows op te lossen. Via het platform kunnen gebruikers "packs" downloaden om problemen te verhelpen.
Beveiligingsbedrijf Proofpoint ontdekte onlangs een aanval waarbij het WTP werd gebruikt om gebruikers malware te laten downloaden. De aanval begint met een Word-document waarvan de inhoud onleesbaar is. Het document vraagt de gebruiker om de benodigde karakterset te detecteren. In werkelijkheid wijst de link hiervoor naar een kwaadaardig pack voor het Windows Troubleshooting Platform, dat met een gestolen certificaat van een bedrijf is gesigneerd.
Zodra de gebruiker de link in het document opent verschijnt er een melding van het WTP om de problemen te verhelpen. Als de gebruiker hiermee akkoord gaat voor het pack een script uit dat onzichtbaar voor de gebruiker malware op de computer installeert. Via de malware hebben aanvallers volledige controle over de computer. Volgens Proofpoint weten aanvallers op deze manier beveiligingssoftware te omzeilen, omdat de kwaadaardige activiteiten buiten het bestand plaatsvinden dat het WTP-pack downloadt, wat detectie bemoeilijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.