Киберпреступная группа Silver Fox из Китая вновь продемонстрировала высокую квалификацию, обнаружив новый способ обхода защиты операционных систем семейства Windows через эксплуатацию ошибки ядра. Их новая стратегия заключается в применении ранее неизвестного подписанного цифрового сертификата, принадлежащего производителю периферийных устройств, для внедрения вредоносного компонента, известного как STProcessMonitor Driver.
Эксперты присвоили новой уязвимости идентификационный номер CVE-2025-70795.
Эксперты обратили внимание на недавно появившийся экземпляр вредоносного ПО, оснащённый опасным компонентом. Исследование показало, что программа инсталлирует подозрительный драйвер STProcessMonitor Driver, ранее не замеченный в арсенале кибергруппировки. Однако драйвер успешно прошел проверку цифровой подписи Microsoft, выданной производителем аппаратуры и подтвержденной 2 мая 2025 года. Таким образом, защита Windows воспринимала его как безопасный элемент.
Однако реальная цель данного компонента оказалась иной. Используя скрытые привилегии, драйвер получил возможность прекращать любое работающее приложение непосредственно на уровне ядра операционной системы. Хакер вводит специальную команду, заставляющую драйвер немедленно завершить службу безопасности, блокируя штатные механизмы самозащиты антивирусных решений и системы предотвращения вторжений.
Заражение проходит поэтапно: сначала вредоносная программа извлекает зашифрованные компоненты, воссоздавая вредоносные модули из отдельных частей. Затем, используя права администратора, прописывается исключение для установленных защит, такие как включение игнорирования файлом через интегрированную оболочку PowerShell. Если же на устройстве установлен широко используемый китайский антивирус 360 Total Security, вредоносное ПО ограничивает его функциональность путём изменений правил фаерволла.
Следующий этап состоит в установке второго драйвера, выполняющего роль перехватчика обращений к важным функциям ядра, маскирующего присутствие основного зловреда. Для устойчивости на заражённом ПК создается задача планировщика с особыми разрешениями, защищающими саму себя от удаления и препятствующими очистке следов вторжения.
Заключительным этапом становится активация главного компонента — специализированного бота удалённого управления WinOs. Он соединяется с управляющим центром преступников и интегрируется в глобальную сеть распределенных компьютеров, используемых злоумышленниками для дальнейших действий. Внутри собранной конфигурации присутствуют признаки ноябрьской сборки 2025 года.
Особенность метода в том, что разработанный ими драйвер не обнаружен ни одной известной базы опасных компонентов, а значит, авторы целенаправленно искали подобные пробелы среди сертифицированных и официально одобренных цифровых подписей, используемых производителями оборудования. Этот случай служит предупреждением специалистам по информационной безопасности: рекомендуется тщательнее проверять установку посторонних драйверов и регулярно обновлять правила безопасности, предотвращающие применение уязвимых модулей.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Новый уровень угрозы: взлом двухфакторной аутентификации стал проще
Хакеры нашли способ обойти защиту двухфакторной аутентификации благодаря новому инструменту под названием Starkiller. Этот инструмент кардинально меняет подходы к краже учетных записей пользователей, делая традиционные методы защиты неэффективными.
Исследователи кибербезопасности сообщили о появлении нового вредоносного ПО для Android под названием Massiv, которое нацелено на захват мобильных устройств с целью кражи финансовых средств. По данным ThreatFabric, этот вирус маскируется под обычные приложения IPTV, обманывая пользователей и привлекая тех, кто ищет онлайн-телевидение.
Американское агентство кибербезопасности и инфраструктуры (CISA) обновило известный реестр эксплойтов (Known Exploited Vulnerabilities — KEV), добавив четыре критически важные уязвимости, отмеченные активным применением злоумышленниками.