Na captura de tela, acontece o seguinte: o driver de áudio verifica se há uma entrada no registro do Windows, não a encontra e grava um arquivo de áudio no disco rígido. A investigação descobriu um bug no driver para o chip de áudio Realtek: verificou a presença de um sinalizador que ativava o modo de depuração (DebugFunction = 1), mas resolveu incorretamente a situação quando não havia entrada no registro, e passou, sem o conhecimento do usuário, a gravar o som do microfone sempre que dirigido a si mesmo (por exemplo, quando o pesquisador abriu as configurações de som).
Você pode entender o oficial de segurança que solicitou a auditoria: várias gravações de microfone no diretório temporário do Windows são muito semelhantes aos rastros de um programa de spyware. Até março de 2020, essa atividade do driver de áudio poderia passar despercebida. Mas com a transição para o trabalho remoto, as gravações de muitas horas de chamadas em conferência começaram a cair no disco do sistema. Em alguns casos, isso levou ao estouro da unidade. O que, aparentemente, lançou a investigação deste incidente. No entanto, o comportamento estranho do computador nem sempre indica atividade maliciosa - às vezes é apenas um erro.
O blog ERNW não possui dados sobre a prevalência desse problema. Apenas uma versão específica do driver com falha é indicada - Driver de áudio de alta definição Realtek 6.0.1.8045. O desenvolvedor cometeu um erro bastante comum: a operação incorreta do driver era invisível durante a depuração, quando a chave necessária era registrada no registro. E mais uma coisa: esse "recurso" de software padrão é fácil de se adaptar para ações realmente maliciosas.
O que mais aconteceu
Pesquisa da Kaspersky Lab. O primeiro é sobre como reduzir o número absoluto de ataques ransomware-ransomware nos PCs dos usuários. Não relaxe: as operadoras mudaram claramente de malware generalizado para ataques direcionados a empresas. O segundo é um relatório sobre a atividade dos grupos APT no primeiro trimestre de 2021.
Brian Krebs escreve sobre um buraco na API da Experian, uma importante agência de crédito dos Estados Unidos. Por muito tempo, o banco de dados pôde ser acessado sem autorização.
As criptomoedas estão acabando com as ferramentas gratuitas de integração contínua. O blog da LayerCI, um provedor dessa solução, descrevetentativas de abusar de sistemas que permitem que você execute seu próprio código nos recursos de outras pessoas para minerar criptomoedas.
Mais de 4 milhões de endereços de e-mail apareceram no banco de dados do Haveibeenpwned depois que o botnet Emotet foi destruído. Essa fonte de dados não padrão permitirá notificar os usuários cujas senhas foram roubadas como resultado de uma infecção por malware em seus computadores.