Os Hackers criaram um malware com um exploit específico para este zero day, tendo sido este mesmo exploit publicado no repostório GitHub, onde o mesmo pode ser modificado e recompilado por qualquer pessoa de forma a poder melhorar e ampliar o vetor de ataque.

Agora um famoso grupo de cibercriminosos, PowerTool, começou a usar este exploit numa campanha maliciosa de ataque das vítimas vulneráveis em países como Chile, Alemanha, Índia, Filipinas, Polónia, Rússia, Reino Unido, Estados Unidos e Ucrânia.

O ataque

Primeiro há um email de spam com um ficheiro malicioso em anexo e que contém código Powershell, que é por onde o ataque começa.

O malware da primeira fase é usado para a fase de reconnaissance da máquina. Compreende dois executáveis do Windows e depois há um backdoor na segunda fase do qual é feito o download pela primeira fase.

Assim que o hacker consegue o acesso à máquina com o backdoor de segunda fase, entram as ferramentas open-source para desencadear mais ataques.

Indicadores de compromisso

Podes ver o post original, a notícia acerca do surgimento deste 0day aqui: https://zecorreia93.wixsite.com/cibercrimeportugal/single-post/2018/08/28/Windows-0day-pops-up-out-of-nowhere-Twitter