09:25

Новая версия шпионского ПО FinSpy может заменять загрузчик Windows UEFI

Исследователи в области безопасности из «Лаборатории Касперского» обнаружили новую версию шпионского ПО FinSpy , которое перехватывает контроль и заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки. По словам экспертов, заражение UEFI редко встречается и его трудно осуществить. Хотя в данном случае злоумышленники заразили не саму прошивку UEFI, а его следующий этап загрузки, атака была особенно скрытной, поскольку вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженного устройства. Как отметили исследователи, это одна из самых трудных для обнаружения шпионских программ на сегодня. Шпионское ПО оснащено четырьмя различными уровнями обфускации в дополнение к вектору буткита UEFI. В отличие от предыдущих версий FinSpy, содержащих троян сразу в зараженном приложении, новые образцы теперь защищены двумя компонентами: непостоянным пре-валидатором и пост-валидатором. «Первый компонент выполняет несколько проверок безопасности, убеждаясь, что атакованное устройство не принадлежит исследователю в области кибербезопасности. Только после прохождения проверки сервер предоставляет пост-валидаторный компонент. Затем сервер сможет развернуть полноценное троянское ПО», — пояснили специалисты. Шпионское ПО содержит четыре сложных кастомных обфускатора, предназначенных для замедления анализа шпионского ПО. Кроме того, троян может использовать режим разработчиков в браузерах для перехвата трафика, защищенного протоколом HTTPS. На всех компьютерных системах, зараженных буткитом UEFI, диспетчер загрузки Windows (bootmgfw.efi) был заменен вредоносным. Когда UEFI передает выполнение вредоносному загрузчику, он сначала находит и заменяет исходный диспетчер загрузки Windows на исправленную версию, способную обойти все проверки безопасности. На старых устройствах без поддержки UEFI было зафиксировано заражение через MBR (Master Boot Record).

• 14:46 Держать или продавать: до решения по Ethereum-ETF осталось несколько часов
• 14:46 Биткоин-биржа Kuna провела переговоры о продаже бизнеса в Украине
• 14:08 Нацбанк Украины ограничит физлицам количество P2P-операций
• 13:47 Открытый интерес к фьючерсам на Ethereum впервые превысил $15,6 млрд
• 13:31 Ethereum уже почти $4000. Почему?
• 13:26 Как далекий от криптовалют документалист при помощи мамы и $2500 снял фильм о крахе FTX
• 13:12 Конгрессмен Том Эммер призвал запретить выпуск цифрового доллара
• 12:33 Дело о взятке в 2718 BTC поступило в подмосковный суд

И еще 26