Защитник Windows теперь не позволит вредоносам менять свои настройки

Защитник Windows теперь не позволит вредоносам менять свои настройки

Microsoft добавила дополнительный слой защиты для своего продукта Microsoft Defender Advanced Threat Protection (ATP), который призван защитить пользователей от известной тактики отключения антивируса на зараженных компьютерах, к которой прибегают киберпреступники.

Новую функцию можно активировать в приложении Windows Security — для этого просто надо переключить тумблер у пункта «Tamper Protection».

Эта новая возможность не позволит вредоносным программам изменить основные внутренние настройки, например, защиту в режиме реального времени. В цифровом пространстве было замечено множество зловредов, которые использовали тактику отключения антивируса, чтобы избежать детектирования.

Среди таких программ можно выделить DoubleAgent, который использует функцию разработчиков в Windows для отключения продуктов таких крупных антивирусных компаний, как Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda и Norton.

Помимо этого, новая настройка также не позволит злонамеренным программам отключить функцию детектирования вредоносов через облако, которая помогает обнаружить 0-day угрозы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры атакуют миллионы WordPress-сайтов через уязвимость в плагине Tatsu

Компания Wordfence, специалист обеспечению безопасности WordPress, предупреждает о текущих атаках на сайты: злоумышленники пытаются использовать уязвимость в плагине Tatsu Builder для внедрения вредоносного дроппера. В пиковый день, 14 мая, эксперты зафиксировали по своей клиентской базе 5,9 млн атак и 1,4 млн сайтов-мишеней.

Уязвимость, о которой идет речь (CVE-2021-25094, 8,1 балла CVSS), позволяет без авторизации удаленно выполнить любой код на хост-сервере. Полноценный патч вышел в начале апреля (в составе сборки 3.3.13), PoC-код уже опубликован.

Определить количество потенциальных жертв эксплойта можно лишь приблизительно: плагин, предназначенный для создания веб-страниц, — проприетарный продукт, не представленный в репозитории WordPress.org. По оценке автора опасной находки, Tatsu Builder используют около 100 тыс. сайтов, по данным Wordfence, — от 20 тыс. до 50 тыс., и четверть из них уязвимы.

Активность, связанная с CVE-2021-25094, резко усилилась 10 мая, за несколько дней достигла пика, а затем пошла на спад.

 

Число атакованных сайтов тоже стало расти, а потом заметно снизилось. В большинстве случаев, согласно Wordfence, злоумышленники пытались отыскать уязвимый плагин.

 

Атаки проводились в основном с двух десятков IP-адресов; наибольшую активность проявляли три из них (каждый проверил на прочность более 1 млн сайтов):

  • 148.251.183[.]254
  • 176.9.117[.]218
  • 217.160.145[.]62

Наиболее часто злоумышленники пытались через эксплойт загрузить на сервер вредоносный дроппер — создать свою папку в директории wp-content/uploads/typehub/custom/ и поместить в нее скрытый файл .sp3ctra_XO.php.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru