Киберпреступники запустили новую атаку, используя старый, но уязвимый драйвер Avast Anti-Rootkit, чтобы скрыться от обнаружения и получить контроль над системой. Эта атака опирается на подход «приноси свой уязвимый драйвер» (BYOVD) и позволяет вредоносному ПО отключать компоненты безопасности на целевом устройстве.
Исследователи из компании Trellix обнаружили, что малварь, известная как kill-floor.exe, использует файл драйвера ntfs.bin, который затем регистрируется в системе под именем 'aswArPot.sys'. После этого вредоносное ПО начинает отключать антивирусные процессы, используя заранее подготовленный список из 142 имен процессов, связанных с различными решениями по кибербезопасности.
В ходе атаки малварь взаимодействует с установленным драйвером Avast, используя API DeviceIoControl для выполнения необходимых команд, что позволяет завершать процессы защиты. В итоге защитные системы, включая Microsoft Defender, Symantec, Sophos и другие, оказываются отключенными, а вредоносные действия проходят без блокировок и предупреждений.
Схожие атаки с использованием уязвимого драйвера Avast наблюдались в 2022 году в ходе атак с применением программ-вымогателей AvosLocker и Cuba. Специалисты рекомендуют использовать правила, которые могут определять и блокировать компоненты на основе их цифровых подписей или хешей, чтобы предотвратить подобные атаки.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
