Az új trükk: így bújtatják a zsarolóvírusok az EDR-kiiktatókat
Szédítő ütemben terjed egy új csomagolószolgáltatás, a Shanya, amelyet több zsarolóvírus-csoport is bevet, hogy elkerülje a kibervédelem figyelmét. Ezek a támadók a Shanya packer segítségével titkosítják a kártevőiket, így azok simán átcsúsznak a legtöbb vírusirtó és biztonsági megoldás ellenőrzésén. Elsődleges céljuk, hogy kiiktassák az úgynevezett endpoint detection and response (EDR) rendszereket, vagyis azokat az eszközöket, amelyek meg tudnák állítani a támadásokat.
Egyedi csomagolás, rejtett kód
A Shanya működése pofonegyszerű: a támadók feltöltik a káros kódjukat, amit a szolgáltatás visszaad egy sajátos, titkosított burokban. Mindenki egyedi algoritmust és stubot kap, így nehezen azonosítható a fertőzés. A trükk lényege, hogy a vírus bekerül egy Windows DLL-fájl (shell32.dll) memóriába másolt példányába, amelyen látszólag nincs semmi gyanús, hiszen az állományméret és elérési út is teljesen normálisnak tűnik, de a fejléc és a .text szekció már a támadók kódját tartalmazza.
EDR-ellenes támadótechnika
A csomagolt kártevő a memóriába töltve fejti ki hatását, de a lemezen nem jelenik meg, ezért különösen nehéz felismerni. A Shanya az EDR-rendszerek megkerüléséhez egy trükkös módszert is használ: hibás kontextusban hívja meg a RtlDeleteFunctionTable funkciót, így felborítja az automatikus elemzést és megnehezíti a minták vizsgálatát.
A támadók hagyományosan azt szeretnék, hogy a célpont rendszerén futó EDR teljesen le legyen tiltva, mielőtt adatokat lopnának vagy titkosítanának. Ehhez kombinált támadást vetnek be: egy legitim Windows-programhoz fércelik hozzá a Shanyával csomagolt kártékony DLL-t, majd két illesztőprogramot is telepítenek. Az egyik egy valóban aláírt ThrottleStop.sys, amely kihasználható hibát tartalmaz és lehetőséget ad a kernelmemória írására, a másik egy kártékony hlpdrv.sys, amely a biztonsági szoftverek leállítására alkalmas.
Nemcsak zsarolóvírusok
A Sophos kutatása szerint a Shanyát már nemcsak a Medusa, Qilin, Crytox vagy Akira csoportok használják; újabban a ClickFix kampányokban a CastleRAT kártevőt is ezzel csomagolják. Egyre több támadásban fordul elő, hogy a támadók kész megoldásokat vásárolnak az EDR elleni védelem megkerülésére, így a Shanya valódi aranybánya a kiberbűnözőknek. A jelentés részletes technikai elemzést és aktív támadásokhoz köthető, kompromittálódásra utaló indikátorokat is tartalmaz.
A pénzügyi világban új verseny bontakozik ki: a hagyományos nagybankok – a JPMorgan és a Goldman Sachs – egyre komolyabban fontolgatják, hogy belépnek az úgynevezett előrejelzési piacok területére...
Az amerikai Élelmiszer- és Gyógyszerügyi Hivatal (FDA) engedélyezte az Eli Lilly legújabb, GLP-1 típusú, szájon át szedhető gyógyszerét, a Foundayo-t...
🚽 2026 áprilisában négy űrhajós indul útnak a Hold felé az Artemis II-misszió keretében, és magukkal visznek egy olyan űrtoalettet, amely a szó szoros értelmében forradalmasítja az űrutazás komfortját...
🍫 Évtizedek óta rajonganak érte, de a Reese’s mogyoróvajas csészék (Reese’s Peanut Butter Cups) népszerűsége ellenére az utóbbi időben változtattak a recepten: néhány különleges alkalomra készült terméken, például a kis húsvéti tojásokon, csökkent a valódi csokoládé aránya, olcsóbb összetevőkkel helyettesítve azt...
Nyolc évvel ezelőtt indult útjára az 1.1.1.1 nyilvános DNS-feloldó, amelynek célja nem kevesebb volt, mint a világ leggyorsabb, a magánszférát tiszteletben tartó szolgáltatásának létrehozása...
Washingtonban mondott beszédében Harry herceg kemény hangot ütött meg a közösségi oldalak működésével kapcsolatban, amikor elismerően szólt két friss, nagy horderejű perről, amelyek főként a gyerekek védelmét érintik...
😴 A korán kezdődő munkanapok milliók mindennapjait keserítik meg, hiszen a hajnalban kezdődő műszak biológiailag kényszerű kompromisszum: az agy ilyenkor még alvásra van programozva, a teljesítmény pedig jelentősen csökken...
🚀 Elon Musk újra a figyelem középpontjában: a SpaceX titokban beadta a tőzsdei bevezetéshez szükséges papírokat az Egyesült Államok Értékpapír- és Tőzsdebizottságához...
Jack Dorsey, a Block alapítója és vezérigazgatója szerint a vállalatok egy új működési korszak küszöbén állnak, amelyben a középvezetői réteg szerepét nagyrészt a mesterséges intelligencia veheti át...
A Google sürgősséggel adott ki frissítést a Chrome böngészőhöz, miután felfedeztek egy negyedik, ebben az évben aktívan kihasznált nulladik napi hibát...
Ez a jelenség jól illusztrálható azzal, hogy az Apple, amely évtizedeken át forradalmasította a technológiai világot és termékeivel új szokásokat teremtett, ma saját történetének egyik legkritikusabb szakaszához érkezett...
Egy kanadai tinédzser élete teljesen felborult, amikor szinte egyik napról a másikra testét ismeretlen eredetű csalánkiütések lepték el, valahányszor víz érte a bőrét...
Érdemes megvizsgálni, hogy a tokenizáció, vagyis eszközök blokklánc-alapú nyilvántartása és átruházása miért vált az utóbbi évek egyik legnagyobb kriptós hívószavává...
🛡 2026 tavaszán a világ legnagyobb kiberbiztonsági konferenciáján futótűzként terjedt egy nyugtalanító felismerés: soha nem volt még ilyen rövid az ablak, amelyen keresztül a védelmezők megállíthatják a támadásokat...
A NASA továbbra is április 1-re tervezi az Artemis II küldetés indítását, és jelenleg sem az űrhajóval, sem a csapattal kapcsolatban nincs jelentős technikai probléma...
Steve Jobs neve egybeforrt az Apple-lel, az iPhone‑nal, iPaddal és iMaccal, mégis egészen másból származott az a vagyon, amely később milliárdossá tette...
