Uważaj, botnet Kraken może z łatwością ominąć Defendera i ukraść twoje krypto

Jak większość z was może już wiedzieć, firma technologiczna z siedzibą w Redmond niedawno dokonała ważnej aktualizacji listy uprawnień Window Defender Exclusions.

Teraz, ze względu na zmianę wprowadzoną przez Microsoft, nie jest już możliwe przeglądanie wykluczonych folderów i plików bez uprawnień administratora.

Jak możesz sobie wyobrazić, jest to znacząca zmiana, ponieważ cyberprzestępcy często wykorzystują te informacje do dostarczania złośliwych ładunków do takich wykluczonych katalogów w celu ominięcia skanowania Defendera.

Ale mimo to bezpieczeństwo jest pojęciem względnym i zawsze, gdy myślimy, że jesteśmy bezpieczni, zawsze znajdą się podstępne strony trzecie, gotowe naruszyć nasze bezpieczeństwo.

Uważaj na nowy botnet Kraken

Pomimo wszystkich środków bezpieczeństwa podjętych przez Microsoft, nowy botnet o nazwie Kraken, który został niedawno odkryty przez ZeroFox, nadal będzie infekować komputer.

Kraken dodaje się jako wykluczenie, zamiast szukać wykluczonych miejsc w celu dostarczenia ładunku, co jest stosunkowo prostym i skutecznym sposobem na ominięcie skanowania Windows Defender.

Zespół natknął się na ten niebezpieczny botnet w październiku 2021 r., kiedy nikt nie był świadomy jego istnienia ani szkód, jakie może wyrządzić.

Chociaż wciąż jest w fazie aktywnego rozwoju, Kraken już oferuje możliwość pobierania i wykonywania dodatkowych ładunków, uruchamiania poleceń powłoki i robienia zrzutów ekranu systemu ofiary.

Obecnie wykorzystuje SmokeLoade do rozprzestrzeniania się, szybko zyskując setki botów za każdym razem, gdy wdrażany jest nowy serwer dowodzenia i kontroli.

Zespół ds. bezpieczeństwa, który dokonał odkrycia, zauważył również, że Kraken to głównie złośliwe oprogramowanie do kradzieży, podobne do niedawno odkrytego Witryna przypominająca system Windows 11.

Możliwości Krakena obejmują teraz możliwość kradzieży informacji związanych z portfelami kryptowalut użytkowników, co przypomina niedawne fałszywe złośliwe oprogramowanie aktywujące KMSPico Windows.

Zestaw funkcji botnetu jest uproszczony dla takiego oprogramowania. Chociaż nie występuje we wcześniejszych wersjach, bot potrafi zbierać informacje o zainfekowanym hoście i wysyłać je z powrotem do serwera dowodzenia (C2) podczas rejestracji.

Zebrane informacje wydają się różnić w zależności od kompilacji, chociaż firma ZeroFox zaobserwowała, że ​​zbierane są następujące informacje:

• Nazwa hosta
• Nazwa użytkownika
• Identyfikator kompilacji (TEST_BUILD_ + sygnatura czasowa pierwszego uruchomienia)
• Szczegóły procesora
• Szczegóły GPU
• System operacyjny i wersja

Jeśli chcesz dowiedzieć się więcej o tym złośliwym botnecie i jak lepiej chronić się przed atakami, zapoznaj się z pełną diagnostyką ZeroFox.

Pamiętaj też, aby pozostać na szczycie każdego rodzaju ataki, które mogą nadejść za pośrednictwem aplikacji Teams. Opłaca się zawsze wyprzedzać hakerów o krok.

Czy kiedykolwiek znalazłeś się ofiarą takiego cyberataku? Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.