JAKARTA - عادة ما يكون برنامج مكافحة الفيروسات أداة موثوقة للحماية عندما تكون البرامج الضارة كامنة ، ولكن اتضح أن الجهات الفاعلة في مجال التهديدات السيبرانية قد وجدت طريقة لتعطيل البرنامج.
تظهر الأبحاث التي أجرتها شركة الأمن السيبراني Sophos كيف تعمل طريقة تعطيل برنامج مكافحة الفيروسات ، المعروف أيضا باسم Bring Your Vulnerable Driver ، وما تفعله للشركات في جميع أنحاء العالم.
وفقا للدراسة ، تم العثور على مجموعة BlackByte ransomware لتكون العقل المدبر وراء هذا الهجوم. وهي تتضمن إصدارات برنامج تشغيل MSI Afterburner RTCore64 .sys بالإضافة إلى RTCore32 .sys والتي تكون عرضة لتصعيد الامتيازات وعيوب تنفيذ التعليمات البرمجية التي يتم تتبعها على أنها CVE-2019-16098.
Afterburner هي أداة رفع تردد التشغيل لوحدات معالجة الرسومات ، والتي تمنح المستخدمين مزيدا من التحكم في الأجهزة. نظرا للثغرة ، فإنه يساعد BlackByte على تعطيل أكثر من 1000 برنامج تشغيل تحتاج منتجات الأمان مثل برامج مكافحة الفيروسات إلى تشغيلها.
"من المحتمل أن يستمروا في إساءة استخدام السائقين الشرعيين لتجاوز المنتجات الأمنية" ، أوضح سوفوس في منشور مدونة.
للحماية من هذه الطريقة الجديدة للهجوم ، توصي Sophos مسؤولي تكنولوجيا المعلومات بإضافة برامج تشغيل MSI Afterburner RTCore64 .sys و RTCore32.sys المخصصة إلى قائمة الحظر النشطة والتأكد من أنها لا تعمل إلى نقطة النهاية.
بصرف النظر عن ذلك ، يجب عليهم أيضا مراقبة جميع برامج التشغيل المثبتة على الجهاز ، ومراجعة نقاط النهاية بشكل متكرر بحثا عن الحقن الضارة دون تطابقات الأجهزة.
نقلا عن TechRadar ، الاثنين ، 10 أكتوبر ، سلط Sophos الضوء أيضا على بعض الطرق التي استخدمتها BlackByte في هذا الهجوم للتهرب من التحليل من الباحثين الأمنيين ، مثل البحث عن علامات على وجود مصحح أخطاء يعمل على النظام المستهدف والتوقف.
يتحقق BlackByte أيضا من قائمة خطافات مكتبة الارتباط الديناميكي (DLL) المستخدمة من قبل Avast و Sandboxie و Windows DbgHelp Library و Comodo Internet Security ، حتى أنه يوقف تنفيذها إذا تم العثور عليها.
قد يكون إحضار برنامج Driver الضعيف الخاص بك طريقة جديدة ، لكن شعبيته تتزايد بسرعة. وفي وقت سابق من هذا الأسبوع، تبين أيضا أن مجموعة لازاروس جروب المعروفة التي ترعاها كوريا الشمالية، استخدمت نفس التقنية ضد برامج تشغيل البرامج الثابتة التي تحمل علامة ديل.
وافتتحت حملة التصيد الاحتيالي في خريف عام 2021، وتشمل الأهداف المؤكدة موظفي الفضاء في هولندا والصحفيين السياسيين في بلجيكا من خلال تقديم وظائف مزيفة من أمازون.
وفقا للباحث في مجال الأمن السيبراني ESET ، الذي نشر التقرير حول الحملة ، فإن الهدف الرئيسي هو التجسس وسرقة البيانات. سيشاركون ملفات pdf مزيفة للوصف الوظيفي ، وهي في الأساس برامج تشغيل Dell قديمة وضعيفة.
ما يجعل هذه التقنية خطيرة للغاية هو أن برنامج التشغيل هذا يبدو غير ضار ، وبالتالي ، لن يتم اكتشافه بواسطة برامج مكافحة الفيروسات.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
العلامات الأكثر شيوعًا
#فلسطين #بسن #الانتخابات المحلية 2024 #European Cup 2024 #america cup 2024جمع
