Hackers lo utilizan como una vía para que las víctimas descarguen malware.
Windows Troubleshooting Platform (WTP) es utilizado por los hackers para engañar a los usuarios a que descarguen malware en el ordenador.
WTP es una característica legítima en Windows, destinado a la resolución de problemas. Sin embargo, los investigadores de Proofpoint han encontrado un ataque de ingeniería social que utiliza este servicio como medio de infección.
En una entrada de su blog, los investigadores dijeron: «Este ataque es particularmente eficaz ya que la ejecución de WTP no va acompañada de una advertencia de seguridad y los usuarios se condicionan a ejecutar el solucionador de problemas cuando aparece en Windows. En este caso, al ejecutar el solucionador de problemas, este conduce a la instalación de LatentBot, un bot modular bien documentado utilizado para la vigilancia, el robo de información y el acceso remoto».
El hack funciona así: La víctima recibe un correo electrónico con un archivo adjunto que, cuando es descargado y abierto, parece que hay un problema con el conjunto de fuentes de la computadora (caracteres que no se entienden). El usuario tiene que hacer doble clic «para detectar automáticamente el charset», que, al seguir, se abre un archivo DIAGCAB embebido, firmado digitalmente – la extensión por un paquete Troubleshooting (solución de problemas).
Una vez abierto, se muestra lo que Proofpoint llama a un asistente de descarga «tremendamente realista». Si el usuario hace clic en «siguiente» en esta ventana, se carga malware y es ejecutado en el ordenador (a través de un script de PowerShell).
El método podría, según los investigadores, «engañar incluso a los usuarios con experiencia», debido a lo convincente que es y el hecho de que evade la detección por muchas técnicas de sandboxing.
► Looking for Trouble: Windows Troubleshooting Platform Leveraged to Deliver Malware
