Кибератаки продолжают эволюционировать, и на этот раз внимание стоит обратить на вредоносное ПО под названием TCESB, которое стало возможным благодаря уязвимости в популярном антивирусе ESET.
Аферисты, связанные с Китаем, используют новый метод обхода защитных механизмов, направляя на зараженные устройства ранее не зафиксированные угрозы. Речь идет о том, как через незаметный обход Windows-системы и DLL-хайджек атакующие могут получить полный доступ к вашему ПК, не оставив следов.
Исследователи из Kaspersky, анализируя события, связанные с группой ToddyCat, сообщили, что злоумышленники нашли уязвимость в популярном антивирусе ESET, использующем файл «version.dll». Этот файл должен проверять версии, но из-за ошибки его можно было заменить на вредоносный аналог, что позволяет хакерам запускать свои собственные программы. Если у вас на ПК стоит этот антивирус, ваши данные могут быть под угрозой, а вы даже не будете об этом знать.
Но это ещё не все. TCESB использует другую уязвимость — в драйверах Dell, которая позволяет повысить привилегии атаки. Благодаря использованию уязвимого драйвера DBUtilDrv2.sys, вирус может спокойно работать в системе, обрабатывая скрытые файлы и ожидая, когда появится нужный вредоносный код. Примечательно, что такая уязвимость уже была использована другими группами, включая связанный с Северной Кореей Lazarus.
По сути, каждый второй пользователь может стать жертвой подобной атаки, если на его системе есть незащищённые драйверы или неактуальные версии антивирусного ПО. Не доверяйте «безопасным» программам, которые обещают вас защитить, если не следите за их обновлениями. Помните, что даже на вашем самом защищенном ПК может скрываться новый вирус, и стоит быть на чеку, чтобы не стать жертвой этого «цифрового кошмара».
Аферисты, связанные с Китаем, используют новый метод обхода защитных механизмов, направляя на зараженные устройства ранее не зафиксированные угрозы. Речь идет о том, как через незаметный обход Windows-системы и DLL-хайджек атакующие могут получить полный доступ к вашему ПК, не оставив следов.
Исследователи из Kaspersky, анализируя события, связанные с группой ToddyCat, сообщили, что злоумышленники нашли уязвимость в популярном антивирусе ESET, использующем файл «version.dll». Этот файл должен проверять версии, но из-за ошибки его можно было заменить на вредоносный аналог, что позволяет хакерам запускать свои собственные программы. Если у вас на ПК стоит этот антивирус, ваши данные могут быть под угрозой, а вы даже не будете об этом знать.
Но это ещё не все. TCESB использует другую уязвимость — в драйверах Dell, которая позволяет повысить привилегии атаки. Благодаря использованию уязвимого драйвера DBUtilDrv2.sys, вирус может спокойно работать в системе, обрабатывая скрытые файлы и ожидая, когда появится нужный вредоносный код. Примечательно, что такая уязвимость уже была использована другими группами, включая связанный с Северной Кореей Lazarus.
По сути, каждый второй пользователь может стать жертвой подобной атаки, если на его системе есть незащищённые драйверы или неактуальные версии антивирусного ПО. Не доверяйте «безопасным» программам, которые обещают вас защитить, если не следите за их обновлениями. Помните, что даже на вашем самом защищенном ПК может скрываться новый вирус, и стоит быть на чеку, чтобы не стать жертвой этого «цифрового кошмара».
