Хакеры нацелились на антивирусы с помощью нового ПО

Согласно отчету портала Bleeping Computer, хакерская группировка RansomHub представила новое вредоносное программное обеспечение под названием EDRKillShifter, которое использует уязвимость в официальных драйверах для отключения защитных программ Endpoint Detection and Response (EDR) на целевых устройствах. Эта атака, известная как BYOVD (Bring Your Own Vulnerable Driver), давно применяется киберпреступниками разных типов, включая аферистов и государственных хакеров.

В мае 2024 года исследователи компании Sophos обнаружили данные о вредоносном ПО EDRKillShifter в рамках их работы по расследованию инцидентов вымогательства. Были выявлены два образца EDRKillShifter – RentDrv2 и ThreatFireMonitor, которые использовали уязвимые драйверы с GitHub. По данным изученного случая в мае, злоумышленники пытались использовать EDRKillShifter для обойти программы защиты Sophos, однако не смогли достичь цели. Они также не смогли выполнить исполняемый файл вымогательского ПО на целевом компьютере.

Специалисты подчеркнули, что процесс выполнения зловредного загрузчика состоит из трех этапов. Сначала хакер запускает зашифрованный двоичный файл EDRKillShifter с парольной строкой для расшифровки и передает его встроенному ресурсу под именем BIN в оперативной памяти. Затем код расшифровывается и выполняет финальную полезную нагрузку, загружая и эксплуатируя уязвимый официальный драйвер для повышения привилегий и отключения активных процессов и служб EDR.

«После создания новой службы для драйвера и ее запуска вредоносная программа входит в бесконечный цикл, который непрерывно сканирует работающие процессы, завершая их, если их имена соответствуют списку целей,» — пояснил исследователь угроз в компании Sophos, Андреас Клопш, принцип работы хакерского программного обеспечения.

Раннее ITinfo сообщало, что Microsoft приостановила агрессивную рекламу Windows 11 в Windows 10.