Mnohí ľudia sa pri používaní počítačov spoliehajú na ochranu pred škodlivými súbormi na antivírusové programy. Podľa bezpečnostnej spoločnosti Sophos môžu hackeri spustiť ransomware, ktorý falošným driverom Gigabyte dokáže zastaviť bezpečnostný softvér počítačov, informuje Gizchina.

Pri takomto útoku využívajú hackeri zraniteľnosť objavenú v driveroch Gigabyte ešte pred 2 rokmi. Spoločnosť túto chybu potvrdila. Nový ransomware, pomenovaný ako RobbinHood, vydiera obete, ktoré sa snaží prinútiť, aby za odomknutie súborov po útoku zaplatili.

Ak tak neurobia, cena sa zvýši o 10 000 dolárov za deň. Chyba v driveroch Gigabyte umožňuje útočníkom napadnúť zariadenie a spustiť škodlivý kód. Pokiaľ je útok úspešný, všetok bezpečnostný a antivírusový softvér ostane nefunkčný.

Sophos

Spustiteľný súbor driveru gdrv.sys, známy ako Steel.exe, extrahuje do dočasného Windows priečinka súbor ROBNR.EXE, kedy sa následne extrahujú ďalšie 2 rozličné drivery. Jedným je zraniteľný driver od Gigabyte (gdrv.sys) a druhý (rbnl.sys) dokáže ovplyvniť a vypnúť antivírusový softvér v zariadení.

Podpisovanie ovládačov Windowsu je pri útoku neaktívne, aby sa mohol driver spustiť. Škodlivý softvér tak využíva ovládač tretej strany podpísaný Microsoftom na úpravu kernelu, aby mohol byť načítaný konkrétny driver od útočníkov, informuje ITHome.

Zdroj: Gizchina, ITHome