«Лаборатория Касперского» предупредила о зловреде, который оставался на ПК даже после переустановки Windows

Дата: 27.07.2022. Автор: Артем П. Категории: Новости по информационной безопасности
«Лаборатория Касперского» предупредила о зловреде, который оставался на ПК даже после переустановки Windows
Изображение: Clint Patterson (unsplash)

Специалисты «Лаборатории Касперского» заявили об обнаружении вредоносного ПО, которое оставалось на компьютере пользователя даже в том случае, если систему перезагружали или полностью переустанавливали. Эта специфическая особенность крайне усложняет процессы обнаружения этого зловреда под названием CosmicStrand.

Эксперты «Лаборатории Касперского» убеждены, что разработкой вредоносного ПО CosmicStrand занималась неизвестная ранее китайская APT-группировка. Не совсем понятно, какие именно цели преследуют хакеры группы, но чаще всего их жертвами становились российские, иранские, вьетнамские, китайские пользователи.

Вредоносное ПО используется для проведения атак на устройства, работающие на ОС Windows. После перезагрузки устройства на уровне операционной системы всегда запускается небольшой фрагмент вредоносного кода. Подключение этого загрузчика осуществляется к C&C-серверу, откуда он получает исполняемые файлы.

По словам Дениса Легезо, ведущего эксперта по информационной безопасности компании Kaspersky, прошивка UEFI для любого современного ПК является неотъемлемой частью. Код этой прошивки отвечает за загрузку компьютера и запуск ОС Windows. Если на уровне UEFI присутствует вредоносный код, то его активация происходит до запуска ОС. За счет этого активность зловреда является незаметной для большинства защитных средств, которые работают на уровне ядра операционной системы. Тот момент, что прошивка расположена на flash-памяти материнской платы, а не на жестком диске, также «помогает» тому, что кибератаки с применением CosmicStrand сложнее детектируются.

В «Лаборатории Касперского» подчеркнули, что актуальные версии решений Kaspersky способны обнаружить вредоносное ПО CosmicStrand и заблокировать его в системе пользователя.

В начале июля этого года в «Лаборатории Касперского» заявили, что общее число атак на российские информационные ресурсы и сайты выросло в 4,5 раза в I квартале 2022 года, если сравнивать с показателями отчетного периода 2021 года.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *