Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Киберпреступники используют инструмент AuKill для отключения EDR-систем (Endpoint Detection & Response) на устройствах жертв. После этого атакующие могут свободно устанавливать бэкдоры и шифровальщики с помощью концепции «принеси собственный уязвимый драйвер» (Bring Your Own Vulnerable Driver — BYOVD).

В подобных атаках злоумышленники копируют в систему легитимный подписанный драйвер (обязательно с валидным сертификатом), способный работать с правами ядра. Высокие привилегии нужны для отключения защитных решений и получения контроля над ОС.

На вредонос AuKill обратили внимание исследователи из команды Sophos X-Ops. В ходе атак операторы сбрасывают на устройство системный драйвер Windows — procexp.sys, размещая его рядом с тем, который использует легитимная утилита Process Explorer v16.32.

Затем зловред проверяет наличие прав SYSTEM. Если их нет, он имитирует службу TrustedInstaller Windows Modules Installer для повышения привилегий. Чтобы отключить защитные продукты, AuKill стартует несколько потоков, задача которых — завершать работу определенных процессов и служб.

В реальных атаках участвуют сразу несколько версий AuKill. Некоторые из них фигурировали в кампаниях по распространению программ-вымогателей Medusa Locker и LockBit.

«С начала 2023 года обнаруженный инструмент использовался как минимум в трёх инцидентах с участием программ-вымогателей. В январе и феврале атакующие развернули Medusa Locker с помощью AuKill, также в феврале тулза использовалась в связке с Lockbit», — пишут исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники создают копии сайтов после открытия аэропорта в Геленджике

Сразу после открытия аэропорта в Геленджике активизировались организаторы фишинговых атак. Злоумышленники создают копии популярных сервисов по продаже авиабилетов, чтобы продавать несуществующие билеты или перехватывать платёжные данные пользователей.

Председатель комитета по повышению финансовой грамотности Ассоциации российских банков (АРБ), эксперт проекта Минфина России «Мои финансы» Максим Семов рассказал «Российской газете», что сайты-двойники начали появляться практически сразу после объявления об открытии аэропорта в Геленджике.

Многие пользователи стали жертвами мошенников на фоне ажиотажа и опасений не успеть купить билеты.

Как сообщает компания F6, фишинговые сайты начали появляться ещё до официального запуска аэропорта. Злоумышленники нередко заставляют жертв устанавливать шпионские приложения, чтобы получить доступ к их финансовым данным.

По словам эксперта, фейковые ресурсы появляются постоянно. Мошенники тщательно копируют дизайн оригинальных платформ, а отличия могут сводиться к одной букве в адресной строке. Максим Семов рекомендует вводить адрес сайта вручную, а не переходить по ссылкам из писем или мессенджеров.

Кроме продажи билетов, злоумышленники предлагают туры и бронирования по заниженным ценам. Нередко они продают путёвки в несуществующие отели и детские лагеря — эта схема активно используется уже не первый год.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru