Os responsáveis pelo ransomware LockBit 3.0 estão a explorar uma falha existente sobre o Windows Defender para infetarem sistemas Windows, mais concretamente para levarem à instalação de programas que poderão permitir a encriptação de conteúdos com o ransomware, contornando também as principais medidas de segurança e softwares de segurança.
Para este fim, os atacantes encontram-se a usar o Cobalt Strike, uma suíte de programas genuína e usada para testes de segurança a sistemas. No entanto, apesar de o programa ser genuíno, a forma como os atacantes se encontram a usar o mesmo certamente que não será para esse fim.
De acordo com os investigadores da empresa de segurança Sentinel Labs, os atacantes encontram-se a explorar a linha de comandos do Microsoft Defender para levarem à infeção dos sistema, através da injeção de ficheiros DLL modificados para atividades maliciosas.
Estas tarefas são feitas através do programa MpCmdRun.exe, que será o usado pelo Microsoft Defender para a linha de comandos, sendo possível realizar várias ações pelo mesmo tal como se fossem feitas pela interface gráfica.
Através do uso da aplicação, e aproveitando o uso de DLLs que a mesma faz do sistema, os atacantes podem explorar a falha para instalar malware no sistema ou executar código malicioso no mesmo, que abre as portas para tal.
Tendo em contra que o Microsoft Defender é a suíte de proteção existente em vários sistemas Windows mais recentes, esta falha pode levar a que os utilizadores sejam infetados mesmo que tenham o programa a funcionar corretamente.
Uma vez que o malware pode executar praticamente qualquer comando no sistema, também pode desativar as proteções ou adicionar ficheiros específicos na lista para serem ignorados pelo Microsoft Defender.
Nenhum comentário
Seja o primeiro!