Cum folosesc hackerii antivirusul Windows pentru a vă deturna computerul

Hackerii caută în mod constant noi modalități de a ataca și infecta utilizatorii de computere. Și, pentru aceasta, nu este nimic mai bun decât să profitați de programele sau serviciile care sunt instalate standard în sistemul de operare, precum ferestre din Defender, cel mai folosit antivirus astăzi. În acest fel, un grup de hackeri a găsit o nouă modalitate de a evita securitatea acestui program și de a face LockBit 3.0 , unul dintre cele mai periculoase ransomware, deturnează toate datele de pe computer și fac imposibilă recuperarea acestora.

Ransomware este unul dintre cele mai periculoase și dificile tipuri de malware de detectat. Când acest malware ajunge în computer, prin orice mijloace, primul lucru pe care îl face este să se instaleze în sistemul de operare și să găsească o modalitate de a preveni detectarea acestuia de către antivirus atunci când este rulat. Acest lucru se poate realiza în diverse moduri, dar una dintre cele mai interesante, descoperite recent, este să profitați de utilizarea Greva de cobalt.

Cum folosesc hackerii antivirusul Windows pentru a vă deturna computerul

Cobalt Strike este un set de instrumente utilizate în hackingul etic pentru a efectua analize ascunse ale rețelei, precum și pentru a se deplasa lateral într-o rețea, a găsi date, a le cripta și a le fura. Acest instrument este legitim, iar antivirusurile îl recunosc, îl detectează și îl blochează fără nicio problemă. Cu toate acestea, hackerii din spatele acestui ransomware au găsit o slăbiciune în Windows Defender MpCmdRun.exe proces. Datorită acesteia, este posibil să descărcați și să injectați DLL-uri rău intenționate care injectează balize Cobalt Strike în sistem.

Windows Defender - Antivirus în Windows 11

Procesul MpCmdRun.exe este responsabil pentru rularea scanărilor programate pe sistem. Și pentru asta depinde de o bibliotecă numită ” mpclient.dll „. Hackerii au creat o bibliotecă falsă, cu același nume, care, plasând-o în calea originalului, reușește să o facă să ruleze Windows Defender. Și, făcând acest lucru, permite ransomware-ului să rămână ascuns în sistem.

Cum să ne protejăm

Programele malware nedetectabile devin din ce în ce mai frecvente, mai ales în cazul atacurilor de afaceri. Hackerii folosesc tehnici asemănătoare science fiction-ului pentru a se sustrage de la toate aceste măsuri pentru a efectua cele mai complexe atacuri informatice.

Cel mai bun lucru pentru a ne proteja de acest tip de amenințare este să folosim bunul simț. Cu alte cuvinte, trebuie să evităm să descarcăm fișiere de pe Internet din pagini web periculoase sau din orice prin care ajungem la noi e-mail. După cum am văzut, în acest caz specific atacă o slăbiciune în Windows Defender, așa că, pentru a ne proteja, putem înlocui acest antivirus cu altul, precum Kaspersky sau McAfee.

Ransomware-ul atacă cel mai important lucru de pe computerul nostru: fișierele. Prin urmare, o modalitate indirectă de a ne proteja este pentru a face copii de rezervă ale acestora . În acest fel, în cel mai rău caz, dacă ne infectează și ne fură datele, vom avea o cale de evacuare. Va fi suficient să formatați, să ștergeți toate urmele de malware și să restabiliți copia de rezervă. Desigur, trebuie să ne asigurăm că este curat dacă vrem să evităm să ajungem din nou infectați.