Они используют утилиты, с помощью которых изменяют командную строку Windows Defender и загружают модифицированную DLL-библиотеку.
Хакеры-партнёры RaaS-шифровальщика LockBit 3.0 научились использовать антивирус Windows Defender в качестве дешифровальщика и загрузчика вирусов на ПК. Это происходит посредством побочной загрузки модифицированной DLL-библиотеки, которая производит дешифровку маяков Cobalt Strike.
Согласно сообщению экспертов SentinelOne, хакеры используют MpCmdRun.exe, чтобы загрузить и дешифровать инструмент, используемый киберпреступниками.
При этом, использование антивируса – только первый этап кибератаки на систему ПК. После проникновения в систему злоумышленники запускают серию команд и ряд инструментов пост-эксплуатации.
Такие вирусы способны беспрепятственно проходить по системе пользовательского компьютера, так как являются установленными через антивирус и не видны для защитных инструментов.