Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
Новая версия шпионского ПО FinSpy может заменять загрузчик Windows UEFI
Исследователи в области безопасности из «Лаборатории Касперского» обнаружили новую версию шпионского ПО FinSpy , которое перехватывает контроль и заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки. По словам экспертов, заражение UEFI редко встречается и его трудно осуществить. Хотя в данном случае злоумышленники заразили не саму прошивку UEFI, а его следующий этап загрузки, атака была особенно скрытной, поскольку вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженного устройства. Как отметили исследователи, это одна из самых трудных для обнаружения шпионских программ на сегодня. Шпионское ПО оснащено четырьмя различными уровнями обфускации в дополнение к вектору буткита UEFI. В отличие от предыдущих версий FinSpy, содержащих троян сразу в зараженном приложении, новые образцы теперь защищены двумя компонентами: непостоянным пре-валидатором и пост-валидатором. «Первый компонент выполняет несколько проверок безопасности, убеждаясь, что атакованное устройство не принадлежит исследователю в области кибербезопасности. Только после прохождения проверки сервер предоставляет пост-валидаторный компонент. Затем сервер сможет развернуть полноценное троянское ПО», — пояснили специалисты. Шпионское ПО содержит четыре сложных кастомных обфускатора, предназначенных для замедления анализа шпионского ПО. Кроме того, троян может использовать режим разработчиков в браузерах для перехвата трафика, защищенного протоколом HTTPS. На всех компьютерных системах, зараженных буткитом UEFI, диспетчер загрузки Windows (bootmgfw.efi) был заменен вредоносным. Когда UEFI передает выполнение вредоносному загрузчику, он сначала находит и заменяет исходный диспетчер загрузки Windows на исправленную версию, способную обойти все проверки безопасности. На старых устройствах без поддержки UEFI было зафиксировано заражение через MBR (Master Boot Record).
Похожие новости
- 19 Сен, 10:30
В сети Bitcoin вышла новая версия клиента для поддержки обновления Taproot
Биткоин-разработчики представили версию Bitcoin Core 22.0. Среди ключевых изменений — поддержка Taproot, реализация графического интерфейса для работы с аппаратными кошельками, интеграция I2P (Invisible Internet Project) для анонимного подключения но...
Cегодня
-
11:58 Как 40 лет разработок подарили нам биткоин
-
11:49 Брайан Армстронг: «Счет на бирже Coinbase со временем заменит банковские карточки»
-
11:47 Биткоин на кофейной гуще 18.06.24
-
11:24 Украина названа четвертой страной, наиболее благоприятной для криптовалют
-
11:23 Runway представила ИИ-модель Gen-3 Alpha
-
10:50 Налогообложение криптовалют в разных странах
-
10:39 Bybit интегрировала Apple Pay для упрощения покупки крипты
-
10:06 Дэвид Хирш: Надо мной подшутили, я не штампую тысячи мемкоинов на Pump.fun
В мире за неделю
-
18 Июн, 09:31+4 Coinbase International добавляет поддержку торговли токенами до запуска
-
18 Июн, 08:39+6 Соосновательница Binance Йи Хэ призвала Илона Маска решить проблему мошеннических аккаунтов на платформе Х
-
18 Июн, 01:25+5 Криптовалюта EOS просела на 10% в медвежьей торговле с откатом От Investing.com
-
17 Июн, 19:16+4 Верховный суд США рассмотрит предложение Nvidia об отклонении криптовалютного иска
-
17 Июн, 16:10+4 Биткоин может быть выгоднее золота
-
15 Июн, 13:31+4 Криптовалютному банку Evolve Bank угрожает проверка: Выдан приказ о прекращении деятельности
-
14 Июн, 14:17+4 Дональд Трамп предлагает отмену налога на доходы в США, введение тарифов
-
9 Июн, 09:01+4 Крипто-биржи столкнулись с массовым оттоком эфира после одобрения ETF / Криптовалюты, NFT и финансы
-
5 Июн, 19:14+5 Турция отрицает планы по налогообложению криптовалюты, прибыли от акций