0day DLL hijacking στο OneDrive

Η εταιρεία ασφαλείας BitDefender δημοσίευσε πληροφορίες για μια sideloading ευπάθεια σε ένα DLL του που εκμεταλλεύεται αυτή την στιγμή, επιτρέποντας εξόρυξη κρυπτονομισμάτων σε ευάλωτα μηχανήματα.

blue onedrive

Το είναι ένα συνηθισμένο φαινόμενο στα Windows. Τα Windows χρησιμοποιούν ένα σύστημα προτεραιότητας για να προσδιορίσουν από ποια θέση φορτώνεται ένα αρχείο DLL, αν μια πλήρης διαδρομή δεν καθορίζεται από κάποια εφαρμογή. Οι επιθέσεις DLL hijacking κάνουν κατάχρηση αυτού του συστήματος για την εγκατάσταση κακόβουλων αρχείων σε κάποια τοποθεσία με υψηλότερη προτεραιότητα. Έτσι το πρόγραμμα θα φορτώσει το κακόβουλο DLL αντί για το κανονικό αρχείο DLL.

Στην περίπτωση του OneDrive, οι εισβολείς χρησιμοποιούν αυτή την ιδέα τοποθετώντας ένα κακόβουλο αρχείο DLL στο φάκελο του χρήστη στο σύστημα. Συγκεκριμένα, ένα ψεύτικο αρχείο secure32.dll εγγράφεται στο %LocalAppData%\\OneDrive. Αυτό το κακόβουλο dynamic link library φορτώνεται στη συνέχεια από δύο διεργασίες του OneDrive: τις OneDrive.exe και OneDriveStandaloneUpdater.exe.

Όταν το φορτωθεί το κακόβουλο DLL για πρώτη φορά, αρχίζει να κατεβάζει λογισμικό εξόρυξης κρυπτονομισμάτων στο μολυσμένο σύστημα.

  Spotify εγκαθίσταται αυτόματα σε Windows 10 και 11

“Μόλις φορτωθεί σε μία από τις διεργασίες του OneDrive, το ψεύτικο secure32.dll κατεβάζει λογισμικό εξόρυξης κρυπτονομισμάτων ανοιχτού κώδικα και το τρέχει σε νόμιμες διεργασίες των Windows.”infections cryptojacker

Το BitDefender αναφέρει ότι ενώ η επίθεση περιορίζεται επί του παρόντος στην εξόρυξη κρυπτονομισμάτων, αν και οι εισβολείς έχουν επιλογές να πραγματοποιήσουν κι άλλες κακόβουλες επιθέσεις, με ransomware ή spyware.

Η εταιρεία ασφαλείας συνιστά να εγκατασταθεί το OneDrive “ανά μηχάνημα” και όχι “ανά χρήστη” σε υπολογιστές με Windows για να αποφευχθεί η ευπάθεια.
Όσοι θέλετε να δείτε αν έχετε μολυνθεί ανοίξτε την διαδρομή %LocalAppData%\Microsoft\OneDrive\ στην Εξερεύνηση αρχείων και αναζητήστε το αρχείο στον κατάλογο του OneDrive.

0day,onedrive,DLL hijacking,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  86  =  92