Спецвозможности Windows позволяют скрыть вредоносную активность от EDR

Спецвозможности Windows позволяют скрыть вредоносную активность от EDR

Спецвозможности Windows позволяют скрыть вредоносную активность от EDR

ИБ-исследователь из Akamai обнаружил, что фреймворк Microsoft UI Automation (UIA) можно использовать для скрытной кражи конфиденциальных данных, перенаправления жертвы на вредоносные сайты, чтения и записи сообщений в WhatsApp и Slack.

Для проведения атаки на Windows с использованием UIA по методу, разработанному в Akamai, пользователь должен запустить программу, использующую этот API. Тестирование PoC в условиях защиты системы с помощью EDR различного производства во всех случаях показало нулевое детектирование.

Запуск клиентских UIA-приложений требует прав админа, так как им обычно нужен доступ к защищенным элементам пользовательского интерфейса либо к другим процессам, в том числе более привилегированным.

В последнем случае межпроцессное взаимодействие осуществляется с использованием объектов UIA и COM. Для отслеживания изменений UI, отображаемых пользователю в текущей подсказке, добавляется обработчик событий; из него можно вызвать функцию sender.get_CurrentName, чтобы определить целевое приложение для чтения / записи.

 

Помимо этого представленная PoC-атака позволяет похищать вводимые на сайтах данные, в том числе платежную информацию, и выполнять команды, перенаправляющие браузер на фишинговые и вредоносные сайты.

Все опробованные сценарии атаки используют UIA по прямому назначению — так же, как это делают Android-зловреды, получившие доступ к Accessibility Services. Неудивительно, что в ходе экспериментов на абьюз не отреагировала ни одна EDR: когда в ход идет фича, а не баг, такие защитники не видят в этом ничего экстраординарного.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В работе ChatGPT произошел сбой

Проблемы в работе сайта и приложения ChatGPT возникли около 15 часов по московскому времени. Однако на других сервисах, использующих CahtGPT через API, сбой не сказался.

При попытке открыть сайт пользователи получают сообщение Bad Gateway или 503 Service Temporary Unavailable. Большая часть жалоб пользователей (более 80% по статистике Downdetector) связана именно с невозможностью попасть на официальный сайт сервиса https://chatgpt.com/.

Однако ряд пользователей в обсуждении жаловались и на то, что даже если сайт загружался, то все равно сервис был неработоспособен.

Схожие жалобы высказывали и участники профессионального сообщества вокруг компании OpenAI. В основном они исходили от пользователей из стран Европы, а также Индии, Эфиопии и Японии

Основная масса жалоб в Downdetector поступила от пользователей из Нидерландов (8%), Казахстана (6%), а также Германии, Польши и Узбекистана (3%).

Данный сбой не первый в работе сервиса. Так, 26 декабря 2024 года резко увеличилась частота ошибок и галлюцинаций в работе сервиса. OpenAI связала их с «проблемами у провайдера более высокого уровня».

В марте 2023 года сервис на время заблокировали власти Италии. Это произошло из-за нарушений конфиденциальности со стороны OpenAI.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru