Группа программ-вымогателей обходит предупреждения Windows 10

 
 

Семейство программ- вымогателей, нацеленных на отдельных пользователей компьютеров, использует ошибку нулевого дня Windows для заражения пользователей, обнаружил старший аналитик ANALYGENCE Уилл Дорманн.

Исследователи HP Wolf Security недавно опубликовали сообщение в блоге о способности кампании вымогателей Magniber использовать JavaScript для маскировки вредоносного файла под антивирус или обновление Windows 10. Magniber нацелен на отдельных пользователей компьютеров с требованием выкупа в размере 2500 долларов, а не на более крупные компании.

Кампания, по-видимому, впервые стала известна через сообщение на форуме в апреле.

Исследователи HP отметили, что программа-вымогатель использует «умные методы, чтобы избежать обнаружения, такие как запуск программы-вымогателя в памяти, обход контроля учетных записей (UAC) в Windows и обход методов обнаружения, которые отслеживают ловушки пользовательского режима, используя системные вызовы вместо стандартных. Библиотеки Windows API».

Как заметил Дорманн, недавно он добавил в свой арсенал новую технику.

Обход предупреждений Windows MOTW

Хотя сначала он распространялся в основном через файлы MSI и.exe, исследователи HP отметили, что, начиная с сентября 2022 года, Magniber распространялся с использованием файлов JavaScript.

В ответ на отчет HP Дорманн на прошлой неделе заметил, что файлы JavaScript, распространяемые Magniber, подписаны искаженной подписью Authenticode, что позволяет Windows открывать файл без диалогового окна предупреждения Mark-of-the-Web (MOTW).

Дорманн отметил, что неподписанный файл JavaScript получает диалоговое окно с предупреждением, в то время как файл с поврежденной подписью просто запускается, не вызывая диалогового окна.

Генеральный директор ACROS Security Митя Колсек ответил: «Черт возьми, мы только что исправили ошибку разархивирования Windows, чтобы убедиться, что извлеченные файлы имеют MOTW, и теперь, по-видимому, MOTW не имеет значения, потому что вы можете наложить на файл любую сигнатуру, и Windows будет доверять этому?»

Дорманн немного утешил, заметив: «Похоже, это касается только вещей, использующих Authenticode».

Представлено с Windows 10

Позже Дорманн заметил, что Windows 8.1 действительно предоставляет диалоговое окно с предупреждением, предполагая, что уязвимость, вероятно, появилась с выпуском Windows 10.

Как он объяснил BleepingComputer, ошибка связана с функцией Windows 10 «Проверить приложения и файлы» SmartScreen в разделе «Безопасность Windows» > «Управление приложениями и браузером» > «Настройки защиты на основе репутации «.

«Эта проблема связана с новой функцией SmartScreen в Win10, — сказал Дорманн. «А отключение «Проверки приложений и файлов» возвращает Windows к устаревшему поведению, когда подсказки MOTW не связаны с подписями Authenticode», — сказал он.

Таким образом, есть компромисс: если вы активируете эту функцию, Windows сканирует неподписанные файлы, но не нужно много усилий, чтобы обойти ее. Как сказал Дорманн BleepingComputer, «злоумышленники, которые воспользуются этой ошибкой, могут получить МЕНЕЕ БЕЗОПАСНОЕ поведение Windows по сравнению с тем, когда эта функция отключена».

3D-печать5GABC-анализAndroidAppleAppStoreAsusCall-центрChatGPTCRMDellDNSDrupalExcelFacebookFMCGGoogleHuaweiInstagramiPhoneLinkedInLinuxMagentoMicrosoftNvidiaOpenCartPlayStationPOS материалPPC-специалистRuTubeSamsungSEO-услугиSMMSnapchatSonyStarlinkTikTokTwitterUbuntuUp-saleViasatVPNWhatsAppWindowsWordPressXiaomiYouTubeZoomАвдеевкаАктивные продажиАкцияАлександровск ЛНРАлмазнаяАлчевскАмвросиевкаАнализ конкурентовАнализ продажАнтимерчандайзингАнтрацитАртемовскАртемовск ЛНРАссортиментная политикаБелгородБелицкоеБелозерскоеБердянскБизнес-идеи (стартапы)БрендБрянкаБукингВахрушевоВендорВидеоВикипедияВирусная рекламаВирусный маркетингВладивостокВнутренние продажиВнутренний маркетингВолгоградВолновахаВоронежГорловкаГорнякГорскоеДебальцевоДебиторкаДебиторская задолженностьДезинтермедитацияДзержинскДивизионная система управленияДизайнДимитровДирект-маркетингДисконтДистрибьюторДистрибьюцияДобропольеДокучаевскДоменДружковкаЕкатеринбургЕнакиевоЖдановкаЗапорожьеЗимогорьеЗолотоеЗоринскЗугрэсИжевскИловайскИрминоКазаньКалининградКировскКировскоеКомсомольскоеКонстантиновкаКонтент-маркетингКонтент-планКопирайтингКраматорскКрасноармейскКрасногоровкаКраснодарКраснодонКраснопартизанскКрасный ЛиманКрасный ЛучКременнаяКураховоКурскЛисичанскЛуганскЛутугиноМакеевкаМариупольМаркетингМаркетинговая информацияМаркетинговые исследованияМаркетинговый каналМаркетинг услугМаркетологМарьинкаМедиаМелекиноМелитопольМенеджментМерчандайзерМерчандайзингМиусинскМолодогвардейскМоскваМоспиноНижний НовгородНиколаевНиколаевкаНишевой маркетингНовоазовскНовогродовкаНоводружескНовосибирскНумерическая дистрибьюцияОдессаОмскОтдел маркетингаПартизанский маркетингПервомайскПеревальскПетровскоеПлата за кликПоисковая оптимизацияПопаснаяПравило ПаретоПривольеПрогнозирование продажПродвижение сайтов в ДонецкеПроизводство видеоПромоПромоушнПрямой маркетингРабота для маркетологаРабота для студентаРазработка приложенийРаспродажаРегиональные продажиРекламаРеклама на асфальтеРемаркетингРетро-бонусРибейтРитейлРовенькиРодинскоеРостов-на-ДонуРубежноеСамараСанкт-ПетербургСаратовСватовоСвердловскСветлодарскСвятогорскСевастопольСеверодонецкСеверскСедовоСейлз промоушнСелидовоСимферопольСинергияСколковоСлавянскСнежноеСоздание сайтов в ДонецкеСоледарСоциальные сетиСочиСтаробельскСтаробешевоСтахановСтимулирование сбытаСуходольскСчастьеТелемаркетингТельмановоТираспольТорговый представительТорезТрейд маркетингТрейд промоушнТюменьУглегорскУгледарУкраинскХабаровскХарцызскХерсонХостингЦелевая аудиторияЦифровой маркетингЧасов ЯрЧелябинскШахтерскЮжно-СахалинскЮнокоммунаровскЯндексЯсиноватая