Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

«Лаборатория Касперского» предупредила о зловреде, который оставался на ПК даже после переустановки Windows

355
1 мин
Специалисты «Лаборатории Касперского» заявили об обнаружении вредоносного ПО, которое оставалось на компьютере пользователя даже в том случае, если систему перезагружали или полностью переустанавливали. Эта специфическая особенность крайне усложняет процессы обнаружения этого зловреда под названием CosmicStrand. Эксперты «Лаборатории Касперского» убеждены, что разработкой вредоносного ПО CosmicStrand занималась неизвестная ранее китайская APT-группировка. Не совсем понятно, какие именно цели преследуют хакеры группы, но чаще всего их жертвами становились российские, иранские, вьетнамские, китайские пользователи. Вредоносное ПО используется для проведения атак на устройства, работающие на ОС Windows. После перезагрузки устройства на уровне операционной системы всегда запускается небольшой фрагмент вредоносного кода. Подключение этого загрузчика осуществляется к C&C-серверу, откуда он получает исполняемые файлы. По словам Дениса Легезо, ведущего эксперта по информационной безопасности

Специалисты «Лаборатории Касперского» заявили об обнаружении вредоносного ПО, которое оставалось на компьютере пользователя даже в том случае, если систему перезагружали или полностью переустанавливали. Эта специфическая особенность крайне усложняет процессы обнаружения этого зловреда под названием CosmicStrand.

Изображение: Clint Patterson (unsplash)
Изображение: Clint Patterson (unsplash)

Эксперты «Лаборатории Касперского» убеждены, что разработкой вредоносного ПО CosmicStrand занималась неизвестная ранее китайская APT-группировка. Не совсем понятно, какие именно цели преследуют хакеры группы, но чаще всего их жертвами становились российские, иранские, вьетнамские, китайские пользователи.

Вредоносное ПО используется для проведения атак на устройства, работающие на ОС Windows. После перезагрузки устройства на уровне операционной системы всегда запускается небольшой фрагмент вредоносного кода. Подключение этого загрузчика осуществляется к C&C-серверу, откуда он получает исполняемые файлы.

По словам Дениса Легезо, ведущего эксперта по информационной безопасности компании Kaspersky, прошивка UEFI для любого современного ПК является неотъемлемой частью. Код этой прошивки отвечает за загрузку компьютера и запуск ОС Windows. Если на уровне UEFI присутствует вредоносный код, то его активация происходит до запуска ОС. За счет этого активность зловреда является незаметной для большинства защитных средств, которые работают на уровне ядра операционной системы. Тот момент, что прошивка расположена на flash-памяти материнской платы, а не на жестком диске, также «помогает» тому, что кибератаки с применением CosmicStrand сложнее детектируются.

В «Лаборатории Касперского» подчеркнули, что актуальные версии решений Kaspersky способны обнаружить вредоносное ПО CosmicStrand и заблокировать его в системе пользователя.

В начале июля этого года в «Лаборатории Касперского» заявили, что общее число атак на российские информационные ресурсы и сайты выросло в 4,5 раза в I квартале 2022 года, если сравнивать с показателями отчетного периода 2021 года.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.

1
Безопасность и правопорядок
95,2 тыс интересуются