Mărește (credit: Getty Images)
Programele malware descoperite recent în sălbăticie utilizează măsuri sofisticate pentru a dezactiva protecțiile antivirus, pentru a distruge dovezile de infecție și pentru a infecta permanent mașinile cu software de extragere a criptomonedei, au spus cercetătorii marți.
Cheia pentru a face funcționarea sistemului neobișnuit de complex de malware este o funcție din sarcina utilă principală, numită GhostEngine, care dezactivează Microsoft Defender sau orice alt software antivirus sau de protecție a punctelor terminale care ar putea rula pe computerul vizat. De asemenea, ascunde orice dovadă de compromis. „Primul obiectiv al malware-ului GhostEngine este de a invalida soluțiile de securitate a terminalelor și de a dezactiva jurnalele de evenimente specifice Windows, cum ar fi jurnalele de securitate și de sistem, care înregistrează crearea procesului și înregistrarea serviciului.” a spus cercetătorii de la Elastic Security Labs, care au descoperit atacurile.
Când se execută pentru prima dată, GhostEngine scanează mașinile pentru orice software EDR, sau protecție și răspuns la punctul final, care ar putea rula. Dacă găsește vreunul, încarcă drivere despre care se știe că conțin vulnerabilități care permit atacatorilor să obțină acces la kernel, nucleul tuturor sistemelor de operare care este puternic restricționat pentru a preveni manipularea. Unul dintre driverele vulnerabile este un fișier anti-rootkit de la Avast numit aswArPots.sys. GhostEngine îl folosește pentru a termina agentul de securitate EDR. Un fișier rău intenționat numit smartscreen.exe utilizează apoi un driver de la IObit numit iobitunlockers.sys pentru a șterge binarul agentului de securitate.
Comentarii recente