En la captura de pantalla, sucede lo siguiente: el controlador de audio busca ver si hay una entrada en el registro de Windows, no la encuentra y escribe un archivo de audio en el disco duro. La investigación descubrió un error en el controlador del chip de audio Realtek: verificó la presencia de una bandera que habilitaba el modo de depuración (DebugFunction = 1), pero resolvió incorrectamente la situación cuando no había ninguna entrada en el registro, y comenzó, sin el conocimiento del usuario, a grabar sonido desde el micrófono siempre que estaba dirigido a sí mismo (por ejemplo, cuando el investigador abrió la configuración de sonido).
Puede comprender al oficial de seguridad que solicitó la auditoría: un montón de grabaciones de micrófono en el directorio temporal de Windows son muy similares a los rastros de un programa de software espía. Hasta marzo de 2020, dicha actividad del controlador de audio podría pasar desapercibida. Pero con la transición al trabajo remoto, las grabaciones de muchas horas de conferencias telefónicas comenzaron a caer en el disco del sistema. En algunos casos, esto incluso provocó el desbordamiento de la unidad. Lo que, al parecer, puso en marcha la investigación de este incidente. Sin embargo, el comportamiento extraño de la computadora no siempre indica actividad maliciosa, a veces es solo un error.
El blog ERNW no tiene datos sobre la prevalencia de este problema. Solo se indica una versión específica del controlador con falla: Realtek High Definition Audio Driver 6.0.1.8045. El desarrollador cometió un error bastante común: el funcionamiento incorrecto del controlador era invisible durante la depuración, cuando la clave requerida se registró en el registro. Y una cosa más: esta "característica" del software estándar es fácil de adaptar para acciones realmente maliciosas.
Que mas paso
Investigación de Kaspersky Lab. El primero trata de reducir el número absoluto de ataques de ransomware-ransomware en las PC de los usuarios. No se relaje: los operadores claramente han pasado de un malware generalizado a ataques dirigidos a empresas. El segundo es un informe sobre la actividad de los grupos APT en el primer trimestre de 2021.
Brian Krebs escribe sobre un agujero en la API de Experian, una de las principales agencias de crédito de EE. UU. Durante mucho tiempo, se pudo acceder a la base de datos sin autorización.
Las criptomonedas están acabando con las herramientas gratuitas de integración continua. El blog de LayerCI, un proveedor de tal solución, describeintenta abusar de los sistemas que le permiten ejecutar su propio código en los recursos de otras personas para extraer criptomonedas.
Más de 4 millones de direcciones de correo electrónico han aparecido en la base de datos Haveibeenpwned después de que la botnet Emotet fuera destruida. Esta fuente de datos no estándar permitirá notificar a los usuarios cuyas contraseñas han sido robadas como resultado de una infección de malware en su computadora.