Киберпреступники получили в свое распоряжение усовершенствованный инструмент, который эффективно отключает антивирусные программы, включая продукты Kaspersky, Sophos и Bitdefender. Об этом сообщает издание TechRadar со ссылкой на исследование компании Sophos.
Инструмент представляет собой модернизированную версию известного EDRKillShifter, ранее использовавшегося группировкой RansomHub.
Он обладает расширенными возможностями:
- Применяет методы маскировки кода (обфускация);
- Использует антианалитические техники;
- Работает с подписанными драйверами (включая украденные или скомпрометированные).
Основными векторами атак являются внедрение вредоносного кода в легальные программы (например, Clipboard Compare); использование фальшивых установщиков, маскирующихся под официальные; активация после получения доступа к системе жертвы.
Эксперты Sophos отмечают особую опасность инструмента для корпоративных систем, где он используется для отключения защиты перед запуском ransomware-атак.
Как защитить свою технику и персональные данные?
- Активировать защиту от несанкционированных изменений;
- Контролировать права администратора;
- Регулярно обновлять ПО и системы безопасности.
Microsoft начала отзывать цифровые подписи у устаревших драйверов, что может создать дополнительные уязвимости в системе безопасности.
Фото из открытых источников
