Антивирус Windows Defender, который является предустановленным ПО в ОС Windows, может использоваться для загрузки RaaS-шифровальщика LockBit 3.0 и дешифровки файлов. К такому выводу пришли эксперты SentinelOne.
Загрузка шифровальщика на устройство осуществляется с помощью побочной загрузки модифицированной DLL-библиотеки. Последняя успешно дешифрует маяки Cobalt Strike.
Проникнув в систему через антивирус вредоносное ПО запускает серию команд и ряд инструментов пост-эксплуатации. Так как для загрузки используется антивирус, вредонос может беспрепятственно распространяться по системе компьютера. Защитным программам он будет не виден, а потому сможет нанести максимальный ущерб.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.