Эта злая вредоносная программа отключает ваше программное обеспечение безопасности, а затем приступает к убийству
вычисления techradar.com Новости

Эта злая вредоносная программа отключает ваше программное обеспечение безопасности, а затем приступает к убийству

21 апреля 2023 г.

Хакеры используют совершенно новый инструмент для отключения антивирусных программ, установленных на устройствах, перед развертыванием более сомнительного вредоносного ПО, а иногда даже программы-вымогатели, предупреждают исследователи.

Исследователи кибербезопасности из Sophos X-Ops недавно наблюдала за злоумышленниками, использующими метод Bring Your Own Vulnerable Driver (BYOVD) для развертывания инструмента под названием AuKill, способного отключать программы безопасности.

Во-первых, им необходимо установить законный, но уязвимый драйвер на целевую конечную точку. Обычно это делается с помощью атак по электронной почте, распространяя драйвер через фишинговые электронные письма. Драйвер, способный работать с привилегиями ядра, называется procexp.sys и обычно поставляется рядом с фактическим драйвером, используемым Microsoft Process Explorer v16.32 (законная программа, которая собирает данные об активных процессах Windows).

Принесите свой собственный уязвимый драйвер

После того как законная программа запустит вредоносную библиотеку DLL, она сначала проверит, работает ли она с системными привилегиями, и убедится в этом, представившись установщиком Windows-модулей TrustedInstaller. Затем он запускает несколько потоков, тестируя и отключая различные процессы и службы безопасности.

После отключения программ безопасности на компьютере операторы AuKill развертывают вредоносное ПО второго уровня. Согласно отчету Sophos X-Ops, иногда злоумышленники используют Medusa Locker или LockBit — чрезвычайно мощные и популярные варианты программ-вымогателей.

Подробнее

> Вы стали жертвой программы-вымогателя: здесь' s 5 вещей, которые вы должны сделать

> Что такое программы-вымогатели и как они работают?

> Познакомьтесь с лучшими инструменты защиты конечных точек сейчас

«С начала 2023 года этот инструмент использовался как минимум в трех инцидентах с программами-вымогателями для саботажа защиты объекта и развертывания программ-вымогателей», — предупреждают исследователи. «В январе и феврале злоумышленники развернули программу-вымогатель Medusa Locker после использования инструмента; в феврале злоумышленник использовал AuKill непосредственно перед развертыванием программы-вымогателя Lockbit».

Хотя инструмент кажется относительно новым и был только что обнаружен, один его варианты имеют временную метку ноября 2022 года. Исследователи заключают, что новейшая обнаруженная версия была составлена ​​в середине февраля. Его код аналогичен коду Backstab, инструмента с открытым исходным кодом, который также может отключать антивирусные программы. Исследователи видели, как операторы LockBit использовали Backstab в прошлом.

«Мы обнаружили много общего между открытым исходным кодом Backstab и AuKill», — говорят в Sophos. «Некоторые из этих сходств включают похожие характерные строки отладки и почти идентичную логику потока кода для взаимодействия с драйвером».

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE