ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner. Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender. Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner. Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri.
ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner
En ny serie sårbarheter — kalt ReVault — har blitt oppdaget i Dell ControlVault3 (og ControlVault3⁺) firmware og tilhørende Windows-API-er. Disse påvirker over 100 modeller av Latitude- og Precision-laptoper. Sårbarhetene inkluderer to out-of-bounds-feil (CVE‑2025‑24311, CVE‑2025‑25050), et "arbitrary free"-problem (CVE‑2025‑25215), en stack-overflow (CVE‑2025‑24922), og usikker deserialisering (CVE‑2025‑24919). Ved hjelp av disse kan angripere utføre kode på firmware-nivå via legitime API-er, noe som muliggjør vedvarende tilgang selv etter OS-reinstallasjon, samt omgå Windows-pålogging og manipulere biometri (fingeravtrykk) slik at enhver finger aksepteres — alt uten å kjenne til diskpassord eller legitimasjon. (Cisco Talos via BleepingComputer)
Installer umiddelbart oppdateringer for ControlVault3/3⁺ firmware (via Dell-nettside eller Windows Update). Deaktiver fingerprint-pålogging i miljøer med høy risiko
Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender
Akira‑ransomwaren misbruker en legitim Intel‑driver for CPU‑tuning kalt rwdrv.sys (tilknyttet ThrottleStop) ved å registrere den som en tjeneste for å oppnå kjernenivå (kernel‑level) tilgang. Deretter brukes en ondsinnet driver, hlpdrv.sys, som også registreres som tjeneste. Denne driveren endrer Windows Defender‑innstillinger i registret for å deaktivere antivirusbeskyttelse (DisableAntiSpyware) ved hjelp av regedit.exe. Teknikken betegnes som en BYOVD‑angrep (Bring Your Own Vulnerable Driver) og har vært observert ofte i Akira‑IR‑saker siden 15. juli 2025. GuidePoint Security har delt en YARA‑regel for hlpdrv.sys og en omfattende liste over IOCs (indikatorer på kompromiss), inkludert tjenestenavn og filbaner
Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner
En ny post‑exploitation metode kalt »Ghost Calls» misbruker TURN-servere i videokonferanseverktøy som Zoom og Microsoft Teams for å opprette skjult command‑and‑control‑(C2)‑trafikk via WebRTC. Teknikken bruker legitime TURN-legitimasjoner og spesialverktøy for å rekonfigurere trafikken slik at den ser ut som normal videokonferanse, og dermed omgår brannmurer, proxyer og TLS-inspeksjon. Forskningsverktøyet TURNt (tilgjengelig via GitHub) muliggjør SOCKS-proxying, port-forwarding, dataeksfiltrasjon og skjult VNC-trafikk, uten å utnytte noen sårbarheter i selve Zoom eller Teams.
Overvåk uvanlige bruksmønstre i WebRTC/TURN-trafikk, spesielt under videomøter. Legg inn filter- og inspeksjonsregler som kan identifisere unormal WebRTC‑trafikk eller proxy‑aktiviteter.
Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri
Den ondskapsfulle ad-tech-gruppen VexTrio Viper har utviklet flere falske apper – inkludert VPN-er, RAM-rensere, datingtjenester og spam-blokkere – som er publisert i App Store og Google Play under falske utviklernivåer som HolaCode, LocoMind, Hugmi, Klover Group og AlphaScale Media. Disse appene, som samlet har blitt lastet ned millioner av ganger, lurer brukere til å abonnere på tjenester som er vanskelige å avbryte, oversvømmer dem med annonser og samler inn personlig informasjon som e-postadresser. Et eksempel er appen Spam Shield block, som hevder å blokkere push-varsler, men i stedet fakturerer brukere flere ganger.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.