Метод обхода Windows Smart App Control с 2018 года участвует в кибератаках

Метод обхода Windows Smart App Control с 2018 года участвует в кибератаках

Метод обхода Windows Smart App Control с 2018 года участвует в кибератаках

Проблема в Windows Smart App Control и SmartScreen, позволяющая киберпреступникам запускать программы без предупреждения от системы безопасности, как минимум с 2018 года использовалась в реальных атаках.

Задача Smart App Control — выявлять и блокировать ненадёжные, неподписанные или откровенно опасные файлы и приложения. Для этого система использует данные о репутации, полученные от аналитических служб Microsoft.

До Windows 11 функциональность Smart App Control выполняла система SmartScreen, которую представили в Windows 8. Они обе выводят предупреждения при попытке открыть скачанные файлы, помеченные Mark of the Web (MotW).

Специалисты Elastic Security Labs выявили баг, всплывающий при обработке файлов-ярлыков — LNK. В случае его эксплуатации злоумышленники могут обойти блокировку потенциально опасного софта.

Атакующий должен подготовить специальные LNK-файлы с нестандартными путями и внутренней структурой, чтобы при открытии такого файла процесс explorer.exe автоматически модифицировал его для правильного форматирования.

Однако проблема заключается в том, что при таком подходе с загруженных файлов удаляется ярлык MotW, который и используется для выведения пользователю предупреждений.

Источник: BleepingComputer

 

Например, злоумышленник может добавить точку или пробел в пути к целевому файлу или создать LNK-файл с относительным путём — «.\target.exe». Если пользователь нажмёт на ссылку, Проводник WIndows найдёт .exe с соответствующим именем, удалив при этом MotW, после чего запустит исполняемый файл.

 

«У Smart App Control и SmartScreen есть ряд конструктивных изъянов, которые могут убрать предупреждения системы безопасности без какого-либо взаимодействия с пользователем», — предупреждают исследователи.

Мошенникам хватает ФИО, даты рождения и телефона, чтобы заблокировать счёт

Для новой неприятной схемы злоумышленникам не нужны вредоносные программы, фишинговые сайты и взлом банковского приложения. Иногда хватает телефона, уверенного голоса и базовых персональных данных, отмечают специалисты.

Как рассказал «Газете.Ru» основатель компании «Интернет-Розыск» Игорь Бедеров, мошенники могут дистанционно заблокировать банковский счет жертвы, если знают ее ФИО, дату рождения и номер телефона, привязанный к счету.

Сценарий в этом случае простой: злоумышленник звонит на горячую линию банка, представляется клиентом и сообщает, что потерял телефон или банковскую карту. Если оператор или автоматизированная система считают названные данные достаточными для идентификации, счет могут оперативно заблокировать.

И вот тут начинается самое неудобное: отменить такую блокировку дистанционно обычно нельзя. Настоящему владельцу счета приходится идти в отделение банка с паспортом и проходить физическую идентификацию. То есть мошенник потратил пару минут, а жертва — время, нервы и доступ к собственным деньгам.

По словам Бедерова, эта схема опасна тем, что использует не техническую уязвимость, а особенности банковских бизнес-процессов. При этом нужные данные часто уже есть в открытом доступе или в утечках. Дата рождения в соцсетях, номер телефона в объявлениях, ФИО в разных сервисах, и вот пазл почти собран.

Эксперт советует завести отдельный номер телефона для банковских сервисов и двухфакторной аутентификации. Такой номер не стоит публиковать в соцсетях, мессенджерах, объявлениях и других открытых источниках.

Также лучше убрать дату рождения из публичных профилей. Это не просто милая информация для поздравлений, а один из параметров, который могут использовать для давления на банк.

Если счет уже заблокировали по чужому звонку, пользователь может обратиться в банк с заявлением, потребовать расследование инцидента, запись разговора и номер телефона, с которого якобы звонил «клиент».

RSS: Новости на портале Anti-Malware.ru