Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0

Специалисты G DATA проанализировали новый вредоносный вариант майнера XMRig, объявившийся минувшей весной на фоне роста курса монеро. Заражения были обнаружены в Китае, Бельгии, Греции и России.

Обновленный зловред проникает на Windows-машины поэтапно, используя предустановленные в системе скрипты и бинарники (LOLBAS) для запуска полезной нагрузки, закрепления и ухода от обнаружения.

Определить первичный вектор заражения аналитикам не удалось. Вредоносную цепочку запускает svchost.exe, порождающий cmd-процесс для выполнения пакетного скрипта, именуемого 1.cmd.

Этот сценарий проверяет наличие контрольного файла check.txt в папке %APPDATA%\Temp во избежание повторного заражения, изменяет настройки Microsoft Defender, чтобы исключить сканирование корня пути C:\, а затем загружает другой скрипт, S2.bat, из домена notif[.]su и скрытно запускает его на исполнение с помощью PowerShell.

Сценарий S2.bat прежде всего отключает Windows-сервисы, способные помешать дальнейшему развертыванию зловреда (службы обновлений, BITS, TrustedInstaller). Он также загружает с того же сайта XMRig (miner.exe), который при установке создает новый ключ реестра на быстрый запуск и дропает легитимный драйвер WinRing0 для повышения прав в системе.

Как оказалось, все задействованные в атаке скрипты не обфусцированы. Обнаруженные в кодах комментарии свидетельствуют о том, что их создал ИИ-кодер либо неумелый вирусописатель; несмотря на это, на момент обнаружения все файлы плохо детектились на VirusTotal.

По данным G DATA, к маю поток обновлений для зловреда-криптоджекера иссяк. Спустя пару недель используемый им сайт notif[.]su был заблокирован.

Hide My Email от Apple раскрывает настоящие адреса электронной почты

Функция Apple Hide My Email должна делать ровно то, что написано на упаковке: скрывать настоящий адрес электронной пользователя за одноразовым имейлом. Но, похоже, с конфиденциальностью снова вышла неприятная история.

Как пишет 404 Media, исследователь Тайлер Мёрфи обнаружил уязвимость, которая позволяет раскрывать реальные имейл-адреса пользователей, скрытые за Hide My Email. Издание утверждает, что проверило проблему и подтвердило ее существование.

По словам Мёрфи, он сообщил Apple о баге больше года назад, но компания до сих пор его не исправила. Исследователь также заявил, что в ограниченных тестах с добровольцами атака сработала во всех случаях: 100% проверенных адресов Hide My Email оказались уязвимы.

Подробности самой уязвимости пока не раскрываются, чтобы не дать злоумышленникам готовую инструкцию. Но потенциальный риск понятен: если реальный имейл можно связать с одноразовым адресом, пользователь теряет один из ключевых уровней анонимности.

Мёрфи предупреждает, что публичные сайты поиска людей позволяют быстро привязать адрес электронной почты к другим персональным данным. Поэтому для тех, кто использует Hide My Email ради безопасности, а не просто ради борьбы со спамом, проблема может быть особенно неприятной.

Apple пока публично не объяснила, почему баг остаётся неисправленным. При этом компания годами строит имидж вокруг защиты приватности.

RSS: Новости на портале Anti-Malware.ru