Вграденият антивирус в Windows може да бъде заобиколен от хакерите

Вграденият антивирус в Windows може да бъде заобиколен от хакерите с хитра тактика 
(снимка: CC0 Public Domain)

Проблем в общоприетата антивирусна функционалност на Windows разреши на кибернападатели да разпространят злотворен програмен продукт за кражба на информация, заобикаляйки отбраната. За задачата е задоволително да принудят жертвата да кликне върху мечтаната връзка.

Windows Defender, по-специално неговият съставен елемент SmartScreen, дава опция на хакери да популяризират стратегии за кражба на данни като ACR Stealer, Lumma и Meduza. Проблемът идва от това, че Windows Defender не работи вярно.

Много рисковата накърнимост CVE-2024-21412 (с оценка CVSS 8.1) беше разпозната и поправена от Microsoft при започване на 2024 година Но още преди компанията да разбере за нея, кибернападателите я експлоатираха интензивно. По-специално, групата Water Hydra/DarkCasino употребява тази накърнимост за разпространяване на зловредния програмен продукт DarkMe, който нападна финансовите пазари от края на 2023 година

Уязвимостта може да бъде експлоатирана от хакерите посредством изпращане към жертвата на особено основан файл, който им разрешава да заобиколят отбраните на Windows Defender. Нападателят обаче би трябвало да убеди жертвата да отвори връзка, с цел да види наличието на този файл. Това изисква потребление на тактики на общественото инженерство.

Многоетапна верига за заразяване

Експертите на Trend Micro документираха процедурата за заразяване. Всичко стартира с изпращане на връзка към адрес във конгреси за търговия, който сякаш води до избрана борсова диаграма. Вместо изображение, на жертвите се дава файл с връзка photo_2023-12-29.jpg.url, който при тракване изтегля злонамерения инсталатор 7z.msi – за него се допуска, че е инсталатор за архиватора 7zip.

Когато консуматор се опита да отвори злонамерената връзка, браузърът го подканва да я види непосредствено в Windows Explorer. Тъй като това не е предизвестие за сигурност, потребителят може да не подозира, че връзката е злонамерена.

Подходът на атакуващите включва корист с функционалността „ search: application protocol ”, която се употребява за извикване на приложението за търсене на десктопа на Windows. Този способ е употребен доста пъти в предишното за снабдяване и инсталиране на злотворен програмен продукт.

Подмененият файл с бърз достъп (internet shortcut), от своя страна, сочи към различен сходен файл, ситуиран на далечен сървър (2.url), който от своя страна сочи към CMD shell скрипт в ZIP списък, ситуиран на същия сървър (a2. zip/a2.cmd).

Смисълът на тези пренасочвания е, че извикването на един файл с директен път към различен е задоволително, с цел да се заобиколи SmartScreen: той погрешно ползва сериозния механизъм Mark of the Web (MotW), което прави доставката на злотворен програмен продукт безпроблемна за нападателите.

Така се популяризира DarkMe и по сходен метод се прави разпространяването на infostealers. Когато жертвата щракне върху.url файла,.lnk файлът се изтегля и от своя страна изтегля и извършва файл, съдържащ скрипта на HTML Application (HTA).

Последният файл в тази верига разопакова и декриптира скрипта PowerShell, който изтегля файл с PDF уголемение от далечен сървър, както и инжектор на код на обвивка (shell-код), който или непосредствено конфигурира Meduza в системата, или изтегля Hijack Loader, посредством който се започва ACR Stealer или Lumma.

Капан за антивирусната стратегия

Многоетапните вериги за заразяване са техника, която от дълго време се употребява от нападателите, с цел да объркат отбраните. За страдание, Defender в тази ситуация не сработва, а доста малко консуматори биха се замислили да заменят общоприетата Windows антивирусна стратегия с нещо друго.

Според специалистите на Fortinet, ACR Stealer наподобява е вид на GrMsk Stealer; той стартира да се популяризира на хакерския конгрес RAMP в края на март 2024 година ACR Stealer маскира своя надзорен сървър, употребявайки метода „ drop dead resolver ”.

Това е способ за офанзива, при който нападателите разгласяват наличие с вградени злонамерени домейни или IP адреси в законни уеб услуги (в случай на ACR, това е уебсайт на общественост в услугата Steam). Зловредният код не съдържа адреса на C&C сървъра. Вместо това програмата получава достъп до обява в социална услуга и чете от нея поредност от видимо безсмислени известия и знаци, които в действителност съставляват код за активиране на идващия стадий от офанзивата.

Злонамереният програмен продукт е в положение да открадне данни от уеб браузъри, крипто портфейли, месинджъри, имейл и FTP клиенти, VPN услуги и даже мениджъри на пароли, предизвестяват експертите.