Специалисты компании Malwarebytes обнаружили бэкдор в драйвере, который тайно устанавливается на систему пользователя посредством PUP пакетов для программного обеспечения, произведенного в Китае.
Бэкдор позволяет сторонним лицам загрузить неподписанные драйверы на компьютер под управлением Windows или выполнить код с повышенными привилегиями на системе жертвы.
Как пояснили эксперты, установщик PUP загружает на компьютер несколько 7-ZIP архивов, включающих ресурсы приложения, в том числе 32- и 64-разрядную версии драйвера, который принудительно и без ведома пользователя устанавливается на устройство.
Драйвер содержит код, позволяющий выполнить ряд действий. В частности, отключить функцию Driver Signature Enforcement (принудительна проверка цифровой подписи драйверов) в Windows, а также повысить права на системе и выполнить код с привилегиями ядра.
По всей видимости, бэкдор не является результатом ошибки и был создан для неблаговидный целей. В некоторых случаях код бэкдора был обфусцирован и запакован вместе с приложением VMProtect для уклонения от обнаружения исследователями безопасности.
Бэкдор работает на следующих версиях ОС: Windows 2000, Windows XP, Windows XP, x64Windows Vista /Windows 7, Windows 8, Windows 8.1, Windows 10 v1507, v1511, v1607, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016.