In che modo gli hacker utilizzano l'antivirus di Windows per dirottare il tuo computer

Gli hacker sono costantemente alla ricerca di nuovi modi per attaccare e infettare gli utenti di PC. E, per questo, non c'è niente di meglio che sfruttare i programmi o servizi che sono installati di serie nel sistema operativo, come Windows Defender, l'antivirus più utilizzato oggi. In questo modo, un gruppo di hacker ha trovato un nuovo modo per eludere la sicurezza di questo programma e fare LockBit 3.0 , uno dei ransomware più pericolosi, dirotta tutti i dati sul computer e ne rende impossibile il recupero.

Il ransomware è uno dei tipi di malware più pericolosi e difficili da rilevare. Quando questo malware raggiunge il computer, con qualsiasi mezzo, la prima cosa che fa è installarsi nel sistema operativo e trovare un modo per impedire all'antivirus di rilevarlo quando viene eseguito. Questo può essere ottenuto in vari modi, ma uno dei più interessanti, recentemente scoperto, è sfruttarne l'uso Colpo di cobalto.

In che modo gli hacker utilizzano l'antivirus di Windows per dirottare il tuo computer

Cobalt Strike è un insieme di strumenti utilizzati nell'hacking etico per eseguire analisi di rete nascoste, nonché per spostarsi lateralmente all'interno di una rete, trovare dati, crittografarli e rubarli. Questo strumento è legittimo e gli antivirus lo riconoscono, lo rilevano e lo bloccano senza alcun problema. Tuttavia, gli hacker dietro questo ransomware hanno trovato un punto debole in Windows Defender MpCmdRun.exe processi. Grazie ad esso, è possibile scaricare e iniettare DLL dannose che iniettano i beacon Cobalt Strike nel sistema.

Windows Defender - Antivirus in Windows 11

Il processo MpCmdRun.exe è responsabile dell'esecuzione delle scansioni pianificate sul sistema. E per questo dipende da una libreria chiamata " mpclient.dll “. Gli hacker hanno creato una libreria falsa, con lo stesso nome, che, inserendola nel percorso dell'originale, riesce a farla eseguire a Windows Defender. E così facendo, consente al ransomware di rimanere nascosto nel sistema.

Come proteggerci

Il malware non rilevabile sta diventando sempre più comune, soprattutto negli attacchi alle aziende. Gli hacker utilizzano tecniche simili alla fantascienza per eludere tutte queste misure al fine di eseguire gli attacchi informatici più complessi.

La cosa migliore per proteggerci da questo tipo di minaccia è usare il buon senso. In altre parole, dobbiamo evitare di scaricare file Internet da pagine Web pericolose o qualsiasi cosa che ci raggiunga email. Come abbiamo visto, in questo caso specifico attaccano un punto debole di Windows Defender, quindi, per proteggerci, possiamo sostituire questo antivirus con un altro, come Kaspersky o McAfee.

Il ransomware attacca la cosa più importante sul nostro PC: i file. Pertanto, un modo indiretto per proteggerci è per farne copie di sicurezza . In questo modo, nel peggiore dei casi, se ci infetta e ci ruba i dati, avremo una via di fuga. Basterà formattare, cancellare ogni traccia di malware e ripristinare il backup. Ovviamente, dobbiamo assicurarci che sia pulito se vogliamo evitare di finire di nuovo infetti.