Инструмент для установки Google Play в Windows 11 подсовывал вредоносов

Инструмент для установки Google Play в Windows 11 подсовывал вредоносов

Инструмент для установки Google Play в Windows 11 подсовывал вредоносов

Популярный скрипт ToolBox для Windows 11, призванный добавить Google Play Store в подсистему Android (Android Subsystem), тайком заражал пользователей вредоносным кодом, Chrome-расширениями и, вероятно, другими видами вредоносных программ.

Напомним, что с выходом Windows 11 в октябре Microsoft представила интересную функциональность: пользователи теперь могут запускать «родные» Android-приложения прямо на десктопной ОС.

Это нововведение многим пришлось по вкусу, но и здесь не обошлось без недостатков. Например, некоторым пользователям не понравилось отсутствие официального магазина приложений Google Play, которым привыкли пользоваться владельцы Android-девайсов.

Само собой, люди стали искать обходные методы, позволяющие добавить Google Play Store в Windows 11. И тут очень кстати на GitHub появился инструмент под названием Windows Toolbox, который, согласно описанию, позволял установить Google Play Store для подсистемы Android.

 

Узнавшие о Windows Toolbox пользователи установили инструмент, при этом не подозревая о его «особенностях». На деле Windows Toolbox оказался трояном, запускающим на компьютере жертвы ряд обфусцированных вредоносных PowerShell-скриптов. В результате пользователь получал на устройство кликер и другие зловредные программы.

Чтобы минимизировать риск детекта, киберпреступники использовали Cloudflare Workers для запуска команд и загрузки файлов на атакуемое устройство. После деобфускации кода исследователи увидели PowerShell-скрипт (1, 2, 3), загружающий вредоносный код.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Учёные обошли защиту DDR5: атака Phoenix даёт root за 2 минуты

Исследователи из группы COMSEC Цюрихского университета ETH совместно с Google представили новый вариант атаки Rowhammer, который успешно обходит защитные механизмы DDR5-памяти от SK Hynix. Вектор получил название Phoenix.

Rowhammer-атаки работают за счёт многократного «долбления» по одним и тем же строкам памяти, что вызывает помехи и приводит к изменению соседних битов.

В результате злоумышленник может повредить данные, повысить привилегии или даже запустить вредоносный код. Для защиты в DDR5 применяется технология Target Row Refresh (TRR), которая должна отслеживать подозрительные обращения и обновлять ячейки.

Но исследователи выяснили, что защита SK Hynix имеет «слепые зоны». Phoenix научился синхронизироваться с тысячами циклов обновления памяти и выбирать именно те моменты, когда TRR не срабатывает. В итоге на всех 15 протестированных модулях DDR5 им удалось вызвать битовые сбои и провести первую успешную атаку с повышением привилегий.

 

В экспериментах на обычной DDR5-системе с настройками по умолчанию учёным потребовалось меньше двух минут, чтобы получить root-доступ. В отдельных тестах они смогли менять записи таблиц страниц, взламывать RSA-ключи соседних виртуальных машин и подменять бинарный файл sudo для выхода в админские права.

 

Уязвимость получила идентификатор CVE-2025-6202 и высокий уровень опасности. Она затрагивает все модули DDR5, выпущенные с января 2021 по декабрь 2024 года.

Полностью закрыть проблему нельзя — это аппаратная уязвимость. Единственный способ частично защититься — увеличить частоту обновления DRAM в три раза. Но такой режим может привести к сбоям и нестабильности системы.

Подробности изложены в статье «Phoenix: Rowhammer Attacks on DDR5 with Self-Correcting Synchronization» (PDF), которую представят на конференции IEEE Symposium on Security and Privacy в следующем году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru