Varo, Kraken-botnet voi helposti ohittaa Defenderin ja varastaa kryptosi

Kuten useimmat teistä saattavat jo tietää, Redmondissa toimiva teknologiayritys teki äskettäin tärkeän päivityksen Window Defender Exclusions -käyttöoikeusluetteloon.

Nyt Microsoftin toteuttaman muutoksen vuoksi poissuljettuja kansioita ja tiedostoja ei ole enää mahdollista tarkastella ilman järjestelmänvalvojan oikeuksia.

Kuten voitte kuvitella, tämä on merkittävä muutos, koska verkkorikolliset käyttävät usein näitä tietoja toimittaakseen haitallisia hyötykuormia tällaisissa poissuljetuissa hakemistoissa ohittaakseen Defender-tarkistukset.

Mutta silti turvallisuus on suhteellinen käsite, ja aina kun ajattelemme olevamme turvassa, aina tulee salakavalaisia ​​kolmansia osapuolia, jotka ovat valmiita rikkomaan turvallisuuttamme.

Varo uutta Kraken-bottiverkkoa

Kaikista Microsoftin turvatoimista huolimatta uusi Kraken-niminen bottiverkko, jonka äskettäin löysi ZeroFox, saastuttaa silti tietokoneesi.

Kraken lisää itsensä poissulkevana sen sijaan, että yrittäisi etsiä poissuljettuja paikkoja hyötykuorman toimittamiseksi, mikä on suhteellisen yksinkertainen ja tehokas tapa ohittaa Windows Defender -tarkistus.

Tiimi törmäsi tähän vaaralliseen botnetiin lokakuussa 2021, kun kukaan ei tiennyt sen olemassaolosta tai sen mahdollisesti aiheuttamista haitoista.

Vaikka Kraken on edelleen aktiivisen kehityksen alla, siinä on jo mahdollisuus ladata ja suorittaa toissijaisia ​​hyötykuormia, suorittaa komentotulkkikomentoja ja ottaa kuvakaappauksia uhrin järjestelmästä.

Tällä hetkellä se käyttää SmokeLoadea leviämiseen ja saa nopeasti satoja botteja joka kerta kun uusi komento- ja ohjauspalvelin otetaan käyttöön.

Löydön tehnyt turvallisuustiimi totesi myös, että Kraken on pääasiassa varastava haittaohjelma, samanlainen kuin äskettäin löydetty. Windows 11:n näköinen verkkosivusto.

Krakenin ominaisuuksiin kuuluu nyt mahdollisuus varastaa käyttäjien kryptovaluuttalompakoihin liittyviä tietoja, mikä muistuttaa äskettäistä väärennettyä KMSPico Windows -aktivaattorihaittaohjelmaa.

Bottiverkon ominaisuussarja on yksinkertaistettu tällaisille ohjelmistoille. Vaikka botti ei ole olemassa aiemmissa koontiversioissa, se pystyy keräämään tietoja tartunnan saaneesta isännästä ja lähettämään ne takaisin komento- ja ohjauspalvelimelle (C2) rekisteröinnin aikana.

Kerätyt tiedot näyttävät vaihtelevan rakennuksesta toiseen, vaikka ZeroFox on havainnut seuraavan kerättävän:

• Isäntänimi
• Käyttäjätunnus
• Koonnostunnus (TEST_BUILD_ + ensimmäisen ajon aikaleima)
• CPU: n tiedot
• GPU: n tiedot
• Käyttöjärjestelmä ja versio

Jos haluat tietää lisää tästä haitallisesta bottiverkosta ja siitä, kuinka voit paremmin suojautua hyökkäyksiltä, ​​muista lukea koko ZeroFox-diagnostiikka.

Muista myös pysyä kaikenlaisten kärjessä hyökkäyksiä, jotka saattavat tulla Teamsin kautta. Kannattaa aina pysyä askeleen edellä hakkereita.

Oletko koskaan huomannut olevasi tällaisen kyberhyökkäyksen uhri? Jaa kokemuksesi kanssamme alla olevassa kommenttiosiossa.