Microsoft hat kürzlich die Berechtigung Windows Defender Exclusions aktualisiert, sodass es nicht mehr möglich ist, ausgeschlossene Ordner und Dateien ohne Administratorrechte anzuzeigen. Dies ist eine bedeutende Änderung, da Angreifer diese Informationen häufig verwenden, um schädliche Payloads an solche ausgeschlossenen Verzeichnisse zu liefern, um Defender-Scans zu umgehen.
Dies kann jedoch ein neues Botnet namens Kraken, das kürzlich von ZeroFox entdeckt wurde, nicht aufhalten. Dies liegt daran, dass Kraken sich einfach als Ausnahme hinzufügt, anstatt zu versuchen, die ausgeschlossenen Orte zu finden, um die Nutzlast zu liefern. Dies ist eine relativ einfache und effektive Möglichkeit, das Scannen von Windows Defender zu umgehen.
ZeroFox erklärt, wie es funktioniert:
Während der Installationsphase versucht Kraken, in den Ordner %AppData%\Microsoft zu wechseln.
[…]
Um verborgen zu bleiben, führt Kraken die folgenden zwei Befehle aus:
Powershell -Befehl Add-MpPreference -ExclusionPath %APPDATA%\Microsoft
Attribut +S +H %APPDATA%\Microsoft\
ZeroFox stellte fest, dass Kraken im Grunde eine stehlende Malware ist, die einer neu entdeckten Website ähnlich wie Microsoft Windows 11 ähnelt. Die Sicherheitsfirma fügt hinzu, dass die Fähigkeiten von Kraken jetzt die Fähigkeit umfassen, Informationen in Bezug auf die Kryptowährungs-Wallets der Benutzer zu stehlen, was an den kürzlich gefälschten Windows-Aktivator erinnert Malware KMSPico.
ZeroFox schreibt:
Die neueste Feature-Ergänzung ist die Möglichkeit, verschiedene Kryptowährungs-Wallets von den folgenden Orten zu stehlen:
- %AppData%\Zcash
- %AppData%\Armory
- %AppData%\bytecoin
- %AppData%\Electrum\Wallets
- %AppData%\Ethereum\keystore
- %AppData%\Exodus\exodus.wallet
- %AppData%\Guarda\Lokaler Speicher\leveldb
- %AppData%\atomic\Lokaler Speicher\leveldb
- %AppData%\ com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
Weitere Details zur Funktionsweise von Kraken finden Sie im offiziellen Blog .
Schreibe einen Kommentar