Обновленный руткит TDL4 обходит новый патч Microsoft

Разработчики одного из самых современных руткитов TDL4, способного инфицировать 64-битные системы Windows, выпустили обновление в ответ на патч Microsoft, мешающий его работе.

12 апреля, компания Microsoft выпустила патч, специально разработанный для отключения защитного механизма руткита TDL4.

По умолчанию 64-битные версии систем Windows 7 и Vista позволяют использовать драйверы только с цифровой подписью, поэтому подавляющее большинство руткитов не может функционировать на таких системах.

Отличие руткита TDL4 заключается в том, что он исправляет данные конфигурации загрузки Windows (Boot Configuration Data) в режиме реального времени, что позволяет ему обходить сигнатурный анализ драйверов операционной системы.

Обновление Microsoft KB2506014 включает изменение размера таблицы экспорта файла kdcom.dll, т.к. программа TDL4 проверяет его значение для определения необходимости замены файла своей версией. Обновленная версия руткита больше не выполняет проверку размера этого файла. Вместо этого TDL4 исправляет процедуру проверки цифровой подписи Windows для kdcom.dll, чтобы вернуть ошибку, которую система не распознает, вынуждая продолжать обычную загрузку программы TDL4.
Кроме того, разработчики TDL4 также изменили способ захвата руткитом системного минипорта, метод, который позволял антивирусным программам обнаруживать его присутствие.

По словам Марко Джулиани (Marco Giuliani), специалиста в области безопасности компании Prevx, известно, что руткит TDL4 устанавливает свой образец драйвера минипорта и подключает DR0 устройство через свой драйвер-фильтр. Такая система позволяла многим утилитам обнаруживать активность руткита в системе. Новый TDL4 удаляет любое упоминание о своем присутствии, тем самым, не оставляя следов, обходит большинство технологий по его обнаружению. 


Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Киберармия Индонезии переключилась на атаки пользователей PayPal

Пользователей платёжной системы PayPal атакует «киберармия Индонезии» (Indonesian Cyber Army). Ранее эта же группировка вела прицельные атаки на клиентов двух других корпораций — Amazon и Apple.

Исследователи из ZeroFOX Alpha Team с прошлого года отслеживают активность индонезийской киберармии. Особое внимание специалисты уделяют инструменту 16Shop — именно его злоумышленники используют в атаках.

По сути, 16Shop представляет собой модель «фишинг как услуга». Другими словами, киберпреступники могут купить лицензию на использование и распространение 16Shop. Изначально инструмент был разработан для атак на пользователей продукции Apple, чуть позже его также адаптировали под клиентов Amazon.

Теперь, по словам ZeroFOX Alpha Team, основными целями злоумышленников выступают пользователи крупнейшей платёжной системы PayPal.

В даркнете набор 16Shop считается наиболее полным и продвинутым инструментов для атак. К нему прилагаются инструкции по установке и деинсталляции. По лицензии также можно получать регулярные обновления.

16Shop, замеченный в атаках на пользователей PayPal, обладает возможностями ухода от детектирования защитными решениями. Инструмент пытается собрать как можно больше конфиденциальной информации жертвы: учётные данные, адреса электронной почты, данные платёжных карт.

«Киберармия Индонезии» — кто же это? На самом деле, обычная киберпреступная группа. Известно, что один из участников группировки ведёт активность под псевдонимом «DevilScreaM».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru