Tin tặc không ngừng tìm kiếm những cách thức mới để tấn công người dùng. Và không có gì tuyệt vời hơn là tận dụng các chương trình hoặc dịch vụ tiêu chuẩn được cài đặt trong hệ điều hành, chẳng hạn Windows Defender, một phần mềm chống virus được sử dụng rộng rãi nhất hiện nay. Bằng cách này, một nhóm tin tặc đã biến LockBit 3.0, một trong những phần mềm tống tiền nguy hiểm nhất, chiếm đoạt tất cả dữ liệu trên máy tính khiến nó không thể khôi phục được.

Ransomware là một trong những loại phần mềm độc hại nguy hiểm và khó phát hiện nhất. Khi phần mềm độc hại này xâm nhập vào máy tính, điều đầu tiên nó làm là cài đặt chính nó vào hệ điều hành và tìm cách ngăn chặn phần mềm chống vi-rút phát hiện. Điều này có thể được thực hiện theo nhiều cách khác nhau, nhưng một trong những điều thú vị nhất, được phát hiện gần đây, là tận dụng lợi thế của việc sử dụng Cobalt Strike.

Cobalt Strike là một bộ công cụ được sử dụng trong kiểm thử xâm nhập để thực hiện phân tích cũng như tấn công leo thang, tìm, mã hóa, đánh cắp dữ liệu. đây là công cụ hợp pháp và các chương trình chống vi-rút nhận ra, phát hiện và chặn nó mà không gặp bất kỳ vấn đề gì. Tuy nhiên, những tin tặc đứng sau ransomware này đã tìm ra điểm yếu trong Windows Defender MpCmdRun.exe. Nhờ đó, có thể tải xuống và đưa các tệp DLL độc hại đưa đèn hiệu Cobalt Strike vào hệ thống.

Quá trình MpCmdRun.exe chịu trách nhiệm chạy quét theo lịch trình trên hệ thống. Và điều đó phụ thuộc vào một thư viện có tên “mpclient.dll”. Tin tặc đã tạo một thư viện giả, có cùng tên, bằng cách đặt nó vào đường dẫn của bản gốc, cố gắng làm cho Windows Defender chạy nó. Và bằng cách làm như vậy, nó cho phép ransomware vẫn ẩn trên hệ thống.

Phần mềm độc hại không thể phát hiện đang trở nên phổ biến hơn, đặc biệt là trong các cuộc tấn công vào các công ty. Tin tặc sử dụng các kỹ thuật để né tránh tất cả các biện pháp này nhằm thực hiện các cuộc tấn công máy tính phức tạp nhất.

Để bảo vệ bản thân, bạn nên tạo các bản sao lưu dữ liệu. Bằng cách này, trong trường hợp xâu nhất bạn sẽ không rơi vào thế bị động.

Theo https://www.securitynewspaper.com/