Дослідники з Cylance виявили шкідливу кампанію, в рамках якої імовірно китайське кіберзлочинне угруповання використовувала підроблену версію утиліти “екранний диктор” (Narator) в компоненті Ease of Access для Windows. Цілями атак стали технологічні компанії, що використовують цю легітимну процедуру NVIDIA.

Narrator – це утиліта для Windows, яка вголос читає текст на екрані для людей з вадами зору. Його можна викликати на екрані входу за допомогою поєднання клавіш, який забезпечує постійний доступ на рівні системи.

Зловмисники також використовують зразок шкідливого ПЗ з відкритим вихідним кодом, відомий як бекдор PcShare, для початкового закріплення в системах жертв. Використовуючи ці інструменти, зловмисники можуть без облікових даних таємно керувати комп’ютерами на базі Windows через екрани віддаленої авторизації робочого столу.

Атаки починаються з доставки бекдора PcShare жертвам допомогою цілеспрямованих фішингових атак (spear-phishing). За словами дослідників, інструмент був модифікований і призначений для роботи під час фонового завантаження легітимним додатком NVIDIA. Як тільки зловмисники отримують права адміністратора в системі жертви, вони замінюють Narrator.exe шкідливої версією, яка дає їм можливість запускати будь-яку програму з системними привілеями. Варто користувачеві ввімкнути “екранного диктора” на екрані авторизації в систему за допомогою Ease of Access, winlogon.exe запустить шкідника і надасть привілеї SYSTEM.

Після виконання шкідник запустить легітимну утиліту, потім зареєструє клас вікна (“NARRATOR”) і створить вікно (“Narrator”). Ця процедура створює діалог з елементом управління редагування і кнопкою “r”, в той час як окремий потік постійно відстежує натискання клавіш. Якщо шкідлива програма виявить, що був введений певний пароль (вбудований в файл у вигляді рядка “showmememe”), він відобразить раніше створений діалог, дозволяючи зловмисникові вказати команду або шлях до файлу для виконання за допомогою елемента управління для редагування.

Введення заданого зловмисником пароля дозволяє створювати будь-який виконуваний файл із привілеями SYSTEM на екрані авторизації в систему.

Нагадаємо, нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sedni виявили фахівці компанії ESET. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.

Завдяки WatchOS 6 смарт-годинник Apple Watch наближається до самостійного пристрою. Раніше Ви не могли б налаштувати Apple Watch без iPhone, а тепер Ви можете встановлювати та видаляти додатки, не торкаючись свого смартфона.

Також Співробітник Microsoft Аарон Лоуер (Aaron Lower) детально пояснив, як працює нова функція “Завантаження з хмари” в Windows 10 20H1 (версія 2003). В офіційному блозі Windows Insider опубліковали матеріал, в якому Лоуер розповідає про вбудовані функції повернення Windows 10 до вихідного стану, а також про розділи відновлення.

Зауважте, що Apple випустила оновлення iOS 13.1 та iPadOS раніше, ніж планувала. Це повинно виправити деякі помилки, знайдені у досить “сирій” версії iOS 13.0. Але компанія вже попереджає клієнтів про ще одну помилку, яку вона ще не виправила.

Часом трапляється, що Play Маркет перестає працювати. Які фактори на це можуть вплинути, та що робити, аби знову отримати доступ до віртуального магазину додатків, читайте у статті.

Ця стаття Зловмисники можуть таємно керувати комп’ютерами на базі Windows раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин