Os responsáveis pelo ransomware LockBit 3.0 estão a explorar uma falha existente sobre o Windows Defender para infetarem sistemas Windows, mais concretamente para levarem à instalação de programas que poderão permitir a encriptação de conteúdos com o ransomware, contornando também as principais medidas de segurança e softwares de segurança.
Para este fim, os atacantes encontram-se a usar o Cobalt Strike, uma suíte de programas genuína e usada para testes de segurança a sistemas. No entanto, apesar de o programa ser genuíno, a forma como os atacantes se encontram a usar o mesmo certamente que não será para esse fim.
De acordo com os investigadores da empresa de segurança Sentinel Labs, os atacantes encontram-se a explorar a linha de comandos do Microsoft Defender para levarem à infeção dos sistema, através da injeção de ficheiros DLL modificados para atividades maliciosas.
Estas tarefas são feitas através do programa MpCmdRun.exe, que será o usado pelo Microsoft Defender para a linha de comandos, sendo possível realizar várias ações pelo mesmo tal como se fossem feitas pela interface gráfica.
Através do uso da aplicação, e aproveitando o uso de DLLs que a mesma faz do sistema, os atacantes podem explorar a falha para instalar malware no sistema ou executar código malicioso no mesmo, que abre as portas para tal.
Tendo em contra que o Microsoft Defender é a suíte de proteção existente em vários sistemas Windows mais recentes, esta falha pode levar a que os utilizadores sejam infetados mesmo que tenham o programa a funcionar corretamente.
Uma vez que o malware pode executar praticamente qualquer comando no sistema, também pode desativar as proteções ou adicionar ficheiros específicos na lista para serem ignorados pelo Microsoft Defender.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech