Firma Microsoft niedawno zaktualizowała uprawnienia Wykluczenia w programie Windows Defender, dzięki czemu nie jest już możliwe przeglądanie wykluczonych folderów i plików bez uprawnień administratora. Jest to istotna zmiana, ponieważ osoby atakujące często wykorzystują te informacje do dostarczania złośliwych ładunków do takich wykluczonych katalogów w celu ominięcia skanowań usługi Defender.
Może to jednak nie powstrzymać nowego botnetu o nazwie Kraken, niedawno odkrytego przez ZeroFox. Dzieje się tak, ponieważ Kraken po prostu dodaje się jako wyjątek, zamiast próbować znaleźć wykluczone miejsca do dostarczenia ładunku. Jest to stosunkowo prosty i skuteczny sposób na ominięcie skanowania w programie Windows Defender.
ZeroFox wyjaśnił, jak to działa:
Podczas fazy instalacji Kraken próbuje przejść do folderu %AppData%\Microsoft.
[…]
Aby pozostać w ukryciu, Kraken uruchamia następujące dwa polecenia:
powershell -Command Add-MpPreference -ExclusionPath%APPDATA%\Microsoft
atrybut +S +H %APPDATA%\Microsoft\
ZeroFox zauważył, że Kraken jest w zasadzie złośliwym oprogramowaniem do kradzieży podobnym do nowo odkrytej strony internetowej podobnej do Microsoft Windows 11. Firma zajmująca się bezpieczeństwem dodaje, że możliwości Krakena obejmują teraz możliwość kradzieży informacji związanych z portfelami kryptowalut użytkowników, co przypomina niedawny fałszywy aktywator systemu Windows złośliwe oprogramowanie KMSPico.
ZeroFox pisze:
Najnowszym dodatkiem jest możliwość kradzieży różnych portfeli kryptowalut z następujących lokalizacji:
- %AppData%\Zcash
- %AppData%\Armory
- %AppData%\bytecoin
- %AppData%\Elektrum\portfele
- %AppData%\Ethereum\magazyn kluczy
- %AppData%\Exodus\exodus.wallet
- %AppData% Guarda Pamięć lokalna leveldb
- %AppData%\atomic\Local Storage\leveldb
- %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Więcej szczegółów na temat działania Krakena można znaleźć na oficjalnym blogu .
Dodaj komentarz