Microsoft a récemment mis à jour l’autorisation d’exclusion de Windows Defender afin qu’il ne soit plus possible d’afficher les dossiers et fichiers exclus sans privilèges d’administrateur. Il s’agit d’un changement important car les attaquants utilisent souvent ces informations pour fournir des charges utiles malveillantes à ces répertoires exclus afin de contourner les analyses Defender.
Cependant, cela n’arrêtera peut-être pas un nouveau botnet appelé Kraken, récemment découvert par ZeroFox. En effet, Kraken s’ajoute simplement comme une exception plutôt que d’essayer de trouver les endroits exclus pour livrer la charge utile. Il s’agit d’un moyen relativement simple et efficace de contourner l’analyse de Windows Defender.
ZeroFox a expliqué comment cela fonctionne :
Pendant la phase d’installation, Kraken essaie de se déplacer vers le dossier %AppData%\Microsoft.
[…]
Pour rester caché, Kraken exécute les deux commandes suivantes :
powershell -Commande Add-MpPreference -ExclusionPath %APPDATA%\Microsoft
attribut +S +H %APPDATA%\Microsoft\
ZeroFox a noté que Kraken est essentiellement un logiciel malveillant de vol similaire à un site Web récemment découvert similaire à Microsoft Windows 11. La société de sécurité ajoute que les capacités de Kraken incluent désormais la possibilité de voler des informations liées aux portefeuilles de crypto-monnaie des utilisateurs, ce qui rappelle le récent faux activateur Windows. logiciel malveillant KMSPico.
ZeroFox écrit :
La dernière fonctionnalité ajoutée est la possibilité de voler divers portefeuilles de crypto-monnaie aux emplacements suivants :
- %AppData%\Zcash
- %AppData%\Armurerie
- %AppData%\bytecoin
- %AppData%\Electrum\portefeuilles
- %AppData%\Ethereum\keystore
- %AppData%\Exodus\exodus.wallet
- %AppData%\Guarda\Stockage local\leveldb
- %AppData%\atomic\Local Storage\leveldb
- %AppData%\ com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Vous pouvez trouver plus de détails sur le fonctionnement de Kraken sur le blog officiel .
Laisser un commentaire