Эксперты рассказали о методе обхода защиты антивирусов от шифровальщиков

...

В популярных защитных приложениях нашли опасные уязвимости, которые в руках потенциального злоумышленника могут использоваться для обхода защиты от программ-вымогателей (шифровальщиков, ransomware).

О новых векторах атаки рассказали специалисты Люксембургского и Лондонского университетов. По словам исследователей, обнаруженные бреши позволяют обойти функцию защищённых папок, которую предлагают представленные на рынке антивирусные программы.

«Разработчики антивирусных программ стараются максимально обезопасить пользователей, именно поэтому защитный софт является ключевым элементов в борьбе с киберпреступниками. Тем не менее у злоумышленников сегодня гораздо больше ресурсов, мощи и самоотдачи», — объясняет профессор Габриеле Лензини.

В целом специалисты указывают на возможность использования приложений, у которых есть доступ к защищённым папкам, для изменения хранящихся там файлов. Те же программы-вымогатели могут прибегнуть к этому способу для шифрования данных.

«У небольшого количества приложений, занесённых в "белый список", есть права записи в защищённые файлы. Тем не менее сами эти программы не всегда защищены должным образом. Это подводит нас к способу эксплуатации: вредоносный софт может воспользоваться приложениями из "белого списка" для осуществления вредоносных операций на компьютере жертвы», — отмечают исследователи.

В качестве примера эксперта перечислили встроенные программы — Блокнот Windows и Paint, — которые атакующие могут задействовать в своих кампаниях. Из 29 антивирусных программ, проанализированных в ходе исследования, 14 оказались уязвимы к кибератаке вида Ghost Control.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 30 Июля 2021 - 20:20

Руткиты Целевые атаки Таргетированные атаки Корпорации Лаборатория Касперского

Kaspersky фиксирует рост числа целевых атак во втором квартале 2021 года

Специалисты «Лаборатории Касперского» сообщили об увеличении числа целевых атак (APT), в которых используются серверы Microsoft Exchange. Такая тенденция, по словам исследователей, наблюдалась во втором квартале 2021 года.

Эксплойты для дыр в Microsoft Exchange использует неизвестная киберпреступная группировка, участники которой говорят, скорее всего, на китайском языке. «Лаборатория Касперского» называет эту шпионскую операцию GhostEmperor.

Злоумышленники выбрали себе в качестве целей государственные учреждения, телекоммуникационные компании и другие крупные организации, находящиеся в Юго-Восточной Азии.

В арсенале группы есть множество инструментов для сложных таргетированных кибератак. Эксперты «Лаборатории Касперского» считают, что группировка действует как минимум год — с июля 2020 года.

GhostEmperor отличается тем, что злоумышленники используют новый руткит, запускающийся и работающий с высокими правами в системе. Как отметили специалисты, руткит обходит проверку подписи драйверов Windows Driver Signature Enforcement с помощью схемы загрузки с софтом Cheat Engine.

Как можно понять из названия, Cheat Engine — программа с открытым исходным кодом, анализирующая игры и создающая чит-коды.