Команда ESET попередила про можливість здійснення атаки на ПК з використанням поки не усуненого недоліку роботи Microsoft Windows. Дослідження показують, що атаки здебільшого здійснюються в Польщі, Британії, США, Україні, Чилі і Росії.
Для захоплення комп’ютера зловмисники використовують локальне підвищення привілеїв – елемент планувальника завдань у версіях 7-10 ОС Windows, який став вразливістю нульового дня. Інформація про неї була опублікована тільки 27 серпня цього року, і поки оновлень для усунення не виходило.
Незабаром після публікації ESET виявила, що кібергрупа PowerPool застосовує для точкових атаках шкідливий код, який використовує локальне підвищення привілеїв. Хакери значно модифікували код, викладений на GitHub, підвищивши його ефективність.
Атака проводиться у 2 етапи:
- Спочатку за допомогою спам-розсилки встановлюється розвідувальна прихована програма. Вона збирає інформацію про ПК і передає її на віддалений сервер.
- Якщо зловмисників зацікавили дані, проводиться інсталяція іншої програми, що надає постійним доступ до системи. Далі, використовуючи вразливість нульового дня, хакери підвищують пріоритет виконання шкідливого коду і переміщуються по локальній мережі через PowerSploit, SMBExec, Quarks PwDump, FireMaster та інші програми з відкритим кодом, отримуючи всю необхідну інформацію.
Викликає сумнів розумність оприлюднення вразливості ОС Windows до її усунення, адже завдяки цьому хакери можуть активно відстежувати останні зміни в софті та створювати більш ефективні та краще приховані шкідливі коди. Утім, поки PowerPool атакують точково, тільки вибрані ПК.
