Security Week 18: непреднамеренный кибершпионаж

В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:



На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
• VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
• Laravel: электронная подпись на сервере с PDF визуализацией
• Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
• OSINT на боевом рубеже: новый фронт военной разведки
• Блеск и ад p2p-торговли на Bybit
• Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
• Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
• Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
• Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)