Un nou malware Windows ar putea trece nedetectat

AtomBomb sau noua modalitate de a permite unui malware să injecteze cod malițios în alte procese fără a fi detectat de către un program antivirus.

Noua metodă a fost concepută de către cercetătorii firmei de securitate Ensilo și se bazează pe mecanismul pentru tabele atom ale Windows. Aceste tabele speciale sunt furnizate de către sistemul de operare și pot fi folosite pentru a face schimb de date între aplicații.

Ceea ce am descoperit este un actor de amenintare care poate scrie coduri malitioase intr-un tabel atom si poate forta un program legitim sa preia codul din acel tabel“, a scris într-un post cercetătorul Ensilo Tal Liberman. „Am constatat, de asemenea, ca programul legitim, care contine acum codul malitios, poate fi manipulat pentru a executa codul“.

Deoarece se bazează pe funcționalitatea sa legitimă, această nouă tehnică de injectare a codului nu este detectată nici de programele de securitate end-point, cât nici de către programele antivirus. Totodată mecanismul tabelelor atom este prezent în toate versiunile Windows, nefiind ceva ce poate fi remediat, deoarece nu este o vulnerabilitate.

Spre exemplu, injectarea de cod poate fi folosită pentru a fura parole criptate de la alte aplicații sau pentru a face screen-shot-uri ale desktop-ului utilizatorului, dacă procesul malware în sine nu are privilegiile necesare. Existând foarte puține tehnici de injectare a codului bine cunoscute, multe dintre produsele de securitate end-point au deja mecanisme care să le detecteze.

Senior e-threat analyst-ul BitDefender, Liviu Arsene a declarat faptul că deși atacul nu exploatează o vulnerabilitate software, furnizorii de soluții de securitate ar putea detecta și bloca payload-ul malițios.

Pentru a ajuta la evitarea infecției malware, Microsoft își încurajează clienții să manifeste prudență atunci când fac click-uri pe link-uri către pagini web, când deschid fișiere necunoscute sau acceptă transferuri de fișiere. Un reprezentat Microsoft a declarat că „un sistem trebuie să fie deja compromis înainte ca malware-ul să poată folosi tehnicile de injectare a codului“.

Cum vi se pare AtomBomb? Mie mi se pare interesant în modul curios al lucrurilor și nu-n sensul malefic. (credit foto)

About Daniel

Senior tester înrăit de aplicații (iOS, Android sau web based); scriitor, grafician și programator de ocazie; senior salahor IT - sper că ne vom împrietenii uşor și că-ți vor plăcea articolele TechZip.

Leave a Reply

%d bloggers like this: