image

Spionagegroep gebruikt lek in virusscanner ESET voor uitvoeren van malware

maandag 7 april 2025, 16:06 door Redactie, 1 reacties

Een spionagegroep aangeduid als 'ToddyCat' maakt gebruik van een kwetsbaarheid in een virusscanner van antivirusbedrijf ESET om malware uit te voeren, zo stelt antivirusbedrijf Kaspersky in een analyse. Zodra de aanvallers toegang tot een systeem hebben gebruiken ze een beveiligingslek in de ESET Command line scanner voor het uitvoeren van een malafide tool.

De kwetsbaarheid in kwestie betreft een probleem met het laden van dll-bestanden. De virusscanner zou eigenlijk dll-bestanden uit de systeemmap moeten laden. De kwetsbaarheid zorgt ervoor dat de virusscanner dll-bestanden uit de eigen map laadt. In dit geval kunnen aanvallers zo een malafide dll-bestand laden en daarmee verdere aanvallen uitvoeren. ESET heeft het probleem inmiddels gepatcht en maakte het bestaan van de kwetsbaarheid op 4 april bekend.

De malafide tool die de ToddyCat-groep via de dll-kwetsbaarheid op gecompromitteerde systemen start maakt gebruik van een kwetsbare Dell-driver. De tool gebruikt deze driver om kernelstructuren aan te passen die callbacks opslaan die worden gebruikt om applicaties voor system events te waarschuwen, aldus de onderzoekers. Dit moet detectie van de uiteindelijke payload voorkomen. ToddyCat heeft als doel het stelen van vertrouwelijke informatie, zo stelt Kaspersky.

Reacties (1)
Vandaag, 17:09 door Anoniem
Haha dus zonder ESET antivirus ben veiliger dan met :)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.