Η Microsoft ενημέρωσε πρόσφατα τον Windows Defender για να μην επιτρέπει την προβολή φακέλων και αρχείων που έχουν εξαιρεθεί χωρίς δικαιώματα διαχειριστή.
Πρόκειται για μια σημαντική αλλαγή, καθώς πολλοί κακόβουλοι χρήστες χρησιμοποιούν συχνά αυτές τις πληροφορίες για να κρύψουν malware σε φακέλους που δεν ελέγχει ο Windows Defender.
Ωστόσο, αυτό δεν μπορεί να σταματήσει ένα νέο botnet που ονομάζεται Kraken το οποίο ανακαλύφθηκε πρόσφατα από τη ZeroFox. Κι αυτό γιατί το Kraken προσθέτει τον εαυτό του σαν εξαίρεση αντί να προσπαθεί να αναζητήσει ποιοι φάκελοι έχουν εξαιρεθεί. Είναι ένας σχετικά απλός και αποτελεσματικός τρόπος για την παράκαμψη της σάρωση του Windows Defender.
Η ZeroFox αναφέρει:
Κατά τη φάση εγκατάστασης του Kraken, προσπαθεί να μετακινηθεί στο %AppData%\Microsoft.
Για να παραμείνει κρυφό, το Kraken τρέχει τις παρακάτω εντολές:
powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft attrib +S +H %APPDATA%\Microsoft\
Η ZeroFox αναφέρει ότι το Kraken είναι ένα malware κλοπής πληροφοριών που σχετίζονται με wallets κρυπτονομισμάτων.
Η ZeroFox αναφέρει:
Μπορεί να κλέψει διάφορα wallets κρυπτονομισμάτων από τις παρακάτω τοποθεσίες:
%AppData%\Zcash %AppData%\Armory %AppData%\bytecoin %AppData%\Electrum\wallets %AppData%\Ethereum\keystore %AppData%\Exodus\exodus.wallet %AppData%\Guarda\Local Storage\leveldb %AppData%\atomic\Local Storage\leveldb %AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Μπορείτε να βρείτε περισσότερες πληροφορίες για το πώς λειτουργεί το Kraken στο blog της εταιρείας.