Os hackers estão constantemente procurando novas maneiras de atacar e infectar usuários de PC. E, para isso, nada melhor do que aproveitar os programas ou serviços que são instalados como padrão no sistema operacional, como Windows Defender, o antivírus mais utilizado atualmente. Desta forma, um grupo de hackers encontrou uma nova forma de burlar a segurança deste programa e tornar LockBit 3.0 , um dos ransomwares mais perigosos, sequestra todos os dados do computador e impossibilita a recuperação.
Ransomware é um dos tipos de malware mais perigosos e difíceis de detectar. Quando esse malware chega ao computador, por qualquer meio, a primeira coisa que ele faz é se instalar no sistema operacional e encontrar uma forma de evitar que o antivírus o detecte quando for executado. Isso pode ser feito de várias maneiras, mas uma das mais interessantes, recentemente descoberta, é aproveitar o uso de Ataque de cobalto.
Cobalt Strike é um conjunto de ferramentas usadas em hacking ético para realizar análises de rede furtivas, bem como mover-se lateralmente dentro de uma rede, encontrar dados, criptografá-los e roubá-los. Esta ferramenta é legítima e os antivírus reconhecem, detectam e bloqueiam sem nenhum problema. No entanto, os hackers por trás desse ransomware encontraram uma fraqueza no Windows Defender MpCmdRun.exe processo. Graças a ele, é possível baixar e injetar DLLs maliciosas que injetam beacons Cobalt Strike no sistema.
O processo MpCmdRun.exe é responsável pela execução de verificações agendadas no sistema. E para isso depende de uma biblioteca chamada ” mpclient.dll “. Os hackers criaram uma biblioteca falsa, com o mesmo nome, que, ao colocá-la no caminho do original, consegue fazer com que o Windows Defender a execute. E ao fazer isso, permite que o ransomware permaneça oculto no sistema.
Como nos proteger
Malware indetectável está se tornando mais comum, especialmente em ataques de negócios. Os hackers usam técnicas de ficção científica para evitar todas essas medidas para realizar os ataques de computador mais complexos.
A melhor coisa para nos protegermos desse tipo de ameaça é usar o bom senso. Em outras palavras, devemos evitar baixar arquivos da Internet de páginas da Web perigosas, ou qualquer coisa que chegue até nós através de email. Como vimos, neste caso específico, eles atacam uma fraqueza no Windows Defender, portanto, para nos proteger, podemos substituir esse antivírus por outro, como Kaspersky ou McAfee.
Ransomware ataca a coisa mais importante em nosso PC: arquivos. Portanto, uma forma indireta de nos protegermos é para fazer cópias de segurança deles . Dessa forma, na pior das hipóteses, se nos infectar e roubar nossos dados, teremos uma rota de fuga. Será suficiente formatar, apagar todos os vestígios de malware e restaurar o backup. Obviamente, devemos garantir que esteja limpo se quisermos evitar ser infectados novamente.
