Windows Update можно использовать для выполнения вредоносного кода

Windows Update можно использовать для выполнения вредоносного кода

Windows Update можно использовать для выполнения вредоносного кода

Службу Windows Update, отвечающую за обновление операционной системы, добавили в список потенциально опасных файлов LoLBins, с помощью которых атакующий может выполнить вредоносный код на компьютере пользователя.

Напомним, что LoLBins — исполняемые файлы (предустановленные или загруженные), которые могут участвовать в атаке злоумышленника, помогая ему избежать детектирования при установке и выполнении вредоносной составляющей.

Также с помощью LoLBins можно обойти контроль учётных записей Windows (UAC) или Windows Defender Application Control (WDAC).

В этот раз категория таких файлов пополнилась клиентом WSUS (Windows Update, wuauclt), расположенным в системной директории %windir%\system32. Этот клиент позволяет проверять наличие обновлений, устанавливать их через командную строку, без необходимости использовать пользовательский интерфейс.

Исследователь из MDSec Дэвид Миддлхёрст обнаружил, что wuauclt можно использовать для выполнения кода в Windows 10, для этого требуется запустить его с помощью специально созданной DLL со следующими параметрами:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

 

В этом случае «Full_Path_To_DLL» — пусть к DLL-библиотеке атакующего. Примечательно, что злоумышленник с помощью wuauclt может обойти как антивирусную защиту, так и контроль приложений и даже проверку цифровой подписи.

Миддлхёрст даже нашёл образец, который якобы киберпреступники использовали в реальных атаках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 2025 году 70% кибератак на науку и образование в России связаны с выкупом

Если ещё в 2024 году большинство атак на российскую науку и образование имело шпионские цели (62 % случаев), то в 2025 году картина изменилась. Теперь на первый план вышла финансовая мотивация: с начала года 70 % атак совершают преступники, которые требуют выкуп за расшифровку данных или продают украденную информацию на теневых площадках.

Доля шпионажа сократилась почти втрое — до 24 %. По словам Олега Скулкина, руководителя направления Threat Intelligence в BI.ZONE, возврат к финансовой мотивации — это скорее «норма» для киберпреступности.

Переключение шпионских группировок на промышленные и инженерные предприятия, по его мнению, связано с тем, что сейчас для них более интересны прикладные разработки, чем фундаментальные исследования. При этом сфера НИОКР (научные институты и инженерные комплексы) традиционно остаётся в числе приоритетных целей.

Отдельная категория атакующих — хактивисты, действующие по идеологическим мотивам. Их доля остаётся на уровне 6–8 %. Если в 2024 году они в основном атаковали университеты (например, выводили из строя ИТ-инфраструктуру или размещали политические лозунги на сайтах), то в 2025 году всё чаще их целями становятся школы.

Здесь акцент сместился на похищение персональных данных учеников, которые публикуются в открытом доступе ради огласки, а не ради выгоды.

Исследователи также отмечают, что мотивация хактивистских групп постепенно становится смешанной: идеология часто сочетается с финансовым интересом, и злоумышленники всё чаще требуют выкуп за украденные или зашифрованные данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru