Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Вымогатель AvosLocker может запускаться в безопасном режиме Windows (http://txgate.io:443/showthread.php?t=13345)

Artifact 05-16-2025 11:45 PM

Большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.
https://www.securitylab.ru/upload/ib...7aef79d7f3.jpg
Вымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме.
Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.
Согласно отчету исследователей из SophosLabs, операторы вымогателя AvosLocker используют легитимный инструмент развертывания для автоматизации управления исправлениями PDQ Deploy. С помощью инструмента хакеры размещают несколько пакетных скриптов Windows на устройстве, подготавливая плацдарм для атаки.
Скрипты изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности оконечных точек, включая Защитник Windows и продукты от «Лаборатории Касперского», Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance. Скрипты также создают новую учетную запись пользователя под названием newadmin на скомпрометированной системе, добавляя ее в группу пользователей «Администраторы».
Затем преступники настраивают учетную запись для автоматического входа в систему при перезагрузке в безопасном режиме с подключением к Сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу. Скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.
Если автоматический процесс выполнения полезной нагрузки завершается неудачно, оператор может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.
«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который без файлов выполняет полезную нагрузку программы-вымогателя», — пояснили эксперты.


All times are GMT. The time now is 12:29 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.