Вредонос RobbinHood борется с антивирусами с помощью драйвера Gigabyte

Вредонос RobbinHood борется с антивирусами с помощью драйвера Gigabyte

Вредонос RobbinHood борется с антивирусами с помощью драйвера Gigabyte

Распространяющие шифровальщик RobbinHood киберпреступники эксплуатируют уязвимость в драйвере Gigabyte для установки своего вредоносного неподписанного драйвера, предназначенного для отключения антивирусных продуктов.

Таким образом, перед началом шифрования злоумышленники пытаются деактивировать все установленные на рабочих станциях защитные решения.

В обычных условиях процессы защитных механизмов в системах Windows можно завершить только с помощью драйверов уровня ядра. Чтобы уберечь пользователей от таких атак, Microsoft внедрила механизм проверки подписи — только подписанные корпорацией драйверы можно установить в систему.

Теперь же исследователи из компании Sophos описали новую технологию, используемую киберпреступниками для распространения вымогателя RobbinHood.

Первым делом атакующие инсталлируют в систему известный уязвимый драйвер Gigabyte (GDRV.SYS), подписанный Microsoft, а затем задействуют брешь в нём для отключения функции проверки подписи драйверов.

Уязвимость отслеживается под идентификатором CVE-2018-19320, она затрагивает ныне устаревший набор программного обеспечения Gigabyte. В описанных Sophos атаках преступники задействовали исполняемый файл Steel.exe.

Список подлежащих завершению антивирусных процессов находится в файле PLIST.TXT, к которому, к сожалению, исследователи не смогли получить доступ.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru