Ranjivi Windows driver isključuje antivirus

  • Objavljeno u Novosti
image

Tvrtka za računalnu sigurnost Sophos upozorava na nove ransomware napade koji koriste bug u Gigabyte driveru za upad u Windows OS, nakon čega hakeri isključuju antivirusna rješenja. Napad koji se temelji na sigurnosnom propustu otkriven je u Gigabyte driveru iz 2018. godine koji je promijenjen nakon što je Gigabyte saznao za njega, omogućuje hakerima pristup uređaju i instaliranje drugog drivera čija je namjena isključivanje antivirusa.

Sophos kaže kako mu je ovo prvi slučaj u kojem se radi o driveru treće strane supotpisanom od Microsofta koji patchira Windows kernel in-memoriju, ugrađuje svoj maliciozni driver i potom isključuje sigurnosne aplikacije iz prostora kernela.

Nakon toga na računalo se instalira ransowmare ucjenjivački softver pod nazivom RobinHood koji od žrtve traži plaćanje "otkupnine" za otključavanje datoteka. Žrtva tada dobiva obavijest da će se cijena otključavanja povećavati svaki dan za 10.000 dolara ukoliko ne plati otkupninu.

Izvršna datoteka koja "exploita" Gigabyte gdrv.sys driver zove se Steel.exe i ekstrahira datoteku pod nazivom ROBNR.EXE u Windows temp folderu, gdje se raspakiraju dva različita drivera, jedan razvijen od strane Gigabytea (ranjivi) i jedan za isključivanje antivirusnog softvera.

Mada je Gigabyte promijenio svoj driver, Sophos upozorava da gotovo sigurno još uvijek postoji na hardveru mnogih korisnika i predstavlja prijetnju.

Više detalja o ovom bugu i mjerama zaštite možete pronaći na ovoj poveznici

Podijeli