Microsoft ka zbuluar malware të ri i shitur nga një kompani austriake disa qeverive. Ky është një biznes gjithnjë e më popullor, siç dëshmohet nga sulmet e ndryshme të kryera me Pegasus të NSO Group. Mercenari kibernetik, i njohur si KNOTWEED ose DSIRF, zhvillon malware Subzero i cili shfrytëzon dobësitë e Windows zero-day dhe Adobe Reader për të kryer aktivitete të ndryshme me qëllim të keq në kompjuterin e viktimës. Përveç arnimeve, përdoruesit duhet të instalojnë gjithashtu një zgjidhje efektive sigurie, siç është Norton 360 Premium.
Subzero: Analiza e Malware
Sipas gjetjeve të Microsoft-it, KNOTWEED / DSIRF miraton modelin e biznesit që kombinon “akses-si-shërbim” dhe “hack-for-hire”. Përveç shitjes së malware palëve të treta, Subzero ofron gjithashtu infrastrukturën e vet, kështu që është i përfshirë drejtpërdrejt në sulme. Për atë më të fundit (maj 2022), janë shfrytëzuar dy dobësi të ditës zero në Windows (CVE-2022-22047) dhe Adobe Reader.
Subzero ishte fshehur në një dokument PDF të dërguar me email. Defekti i Adobe Reader lejonte ekzekutimin e kodit në distancë, ndërsa defekti i Windows, i pranishëm në nënsistemin Client Server Run-Time (CSRSS), lejonte privilegje të larta. Zinxhiri i infeksionit përfshinte shkrimin e një DLL në disk nga procesi i paraqitjes së Adobe Reader. Dobësia e Windows lejoi që një proces sistemi të përdorej për të ngarkuar DLL dhe kështu malware në memorie.
Subzero mund të kryejë detyra të ndryshme, të tilla si marrja e pamjeve të ekranit, regjistrimi i tastieve (logging), vjedhja e kredencialeve, ekzekutimi i predhave në distancë dhe shkarkimi i shtojcave. Malware zbulohet dhe bllokohet nga Microsoft Defender dhe zgjidhjet kryesore të sigurisë në treg.
Discussion about this post