Depositphotos
Ситуація з безпекою Windows 11 продовжує погіршуватися. Користувачі та бізнес стикаються з двома небезпечними тенденціями: по-перше, з новою загрозою у вигляді шкідливого ПЗ на базі ШІ, а по-друге, з додатковими екстреними оновленнями від Microsoft, які начебто усувають критичні вразливості безпеки.
Це поєднання наочно демонструє, наскільки стрімко змінюється ландшафт загроз у середовищі Windows сьогодні. ШІ-шкідники використовують нові прийоми У центрі уваги — нове шкідливе ПЗ під назвою “DeepLoad”, яке відрізняється від звичайних шкідників: замість того щоб доставляти підозрілі файли на комп’ютер, воно використовує так званий “безфайловий” метод атаки.
Зокрема, користувачів змушують вводити, здавалося б, нешкідливі команди в командний рядок або PowerShell. Саме ця дія і запускає зараження — і традиційні антивірусні сканери, які реагують насамперед на відомі файли, часто не можуть його виявити.
Після компрометації системи шкідливе ПЗ може закріпитися назавжди та зв’язуватися із серверами зловмисників за допомогою легітимних інструментів Windows. Фахівці підкреслюють — окрему небезпеку становлять саме вони: PowerShell, Windows Management Instrumentation (WMI) та легітимні системні бібліотеки.
Основна мета DeepLoad — викрадення облікових даних, особливо в корпоративному середовищі. Але для користувача це означає передусім одне: традиційні механізми захисту дедалі частіше вичерпують свої можливості. Шкідливе ПЗ на базі ШІ здатне динамічно адаптувати свій код, що суттєво ускладнює його виявлення. Водночас скорочується час між виявленням вразливості та першими атаками.
За даними дослідників кібербезпеки, DeepLoad належить до класу так званих loader-інструментів нового покоління, які виступають як початковий етап атаки. Його основна функція — не завдати шкоди одразу, а непомітно підготувати систему до подальшого зараження.
Після активації він може підвантажувати додаткові модулі з віддалених серверів — зокрема бекдори, кейлогери або інструменти для руху мережею. Такий підхід дозволяє зловмисникам змінювати корисне навантаження вже після проникнення, що ускладнює аналіз і реагування на інцидент. Для домашніх користувачів ризик поки що нижчий, ніж для бізнесу. Проте навіть звичайні атаки дедалі більше покладаються на обман, а не на технології.
DeepLoad досить легко обходить системи виявлення у Windows, які орієнтуються на підозрілу поведінку сторонніх програм. Крім того, зафіксовані сценарії, де шкідник використовує шифровані канали зв’язку та техніки маскування трафіку під звичайну мережеву активність, що ускладнює його виявлення навіть на рівні корпоративних систем моніторингу.
Що робити? Попри те що більшість нинішніх атак цілеспрямовано б’ють по бізнесу, є кілька базових заходів, які можна вжити просто зараз:
Паралельно Microsoft вже випустила екстрені оновлення безпеки в середині березня — ми про них писали. Вони стосуються передусім корпоративних версій Windows 11 — таких як 24H2 і 25H2, а також варіанту LTSC.
Було усунуто кілька критичних вразливостей у службі маршрутизації та віддаленого доступу. Зловмисники могли використовувати ці недоліки для віддаленого виконання шкідливого коду та повного захоплення системи. У деяких сценаріях для успішної атаки достатньо було просто підключитися до скомпрометованого сервера.
Поточні проблеми, нажаль, є частиною ширшої тенденції: Microsoft Office також постраждав. У березневий “Вівторок патчів” Microsoft усунула понад 80 вразливостей, зокрема критичні недоліки в Excel та інших застосунках Office. У деяких випадках для виконання шкідливого коду достатньо було просто відкрити панель попереднього перегляду в Outlook.
Крім того, перші приклади показують, що функції ШІ — зокрема Copilot — також можуть створювати нові вектори атак: наприклад, коли дані ненавмисно передаються через автоматизовані процеси.
Джерело: PC World
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.