Ситуация с безопасностью Windows 11 продолжает ухудшаться. Пользователи и бизнес сталкиваются с двумя опасными тенденциями: во-первых, с новой угрозой в виде вредоносного ПО на базе ИИ, а во-вторых, с дополнительными экстренными обновлениями от Microsoft, которые якобы устраняют критические уязвимости безопасности.
Это сочетание наглядно демонстрирует, насколько стремительно меняется ландшафт угроз в среде Windows сегодня. ИИ-вредители используют новые приемы В центре внимания — новое вредоносное ПО под названием «DeepLoad», которое отличается от обычных вредителей: вместо того чтобы доставлять подозрительные файлы на компьютер, оно использует так называемый «безфайловый» метод атаки.
В частности, пользователей заставляют вводить, казалось бы, безобидные команды в командную строку или PowerShell. Именно это действие и запускает заражения — и традиционные антивирусные сканеры, которые реагируют прежде всего на известные файлы, часто не могут его обнаружить.
После компрометации системы вредоносное ПО может закрепиться навсегда и связываться с серверами злоумышленников с помощью легитимных инструментов Windows. Специалисты подчеркивают — отдельную опасность представляют именно они: PowerShell, Windows Management Instrumentation (WMI) и легитимные системные библиотеки.
Основная цель DeepLoad — похищение учетных данных, особенно в корпоративной среде. Но для пользователя это означает прежде всего одно: традиционные механизмы защиты все чаще исчерпывают свои возможности. Вредоносное ПО на базе ИИ способно динамично адаптировать свой код, что существенно усложняет его обнаружение. В то же время сокращается время между обнаружением уязвимости и первыми атаками.
По данным исследователей кибербезопасности, DeepLoad принадлежит к классу так называемых loader-инструментов нового поколения, которые выступают как начальный этап атаки. Его основная функция — не нанести вред сразу, а незаметно подготовить систему к дальнейшему заражению.
После активации он может подгружать дополнительные модули с удаленных серверов — в частности бэкдоры, кейлоггеры или инструменты для движения по сети. Такой подход позволяет злоумышленникам изменять полезную нагрузку уже после проникновения, что затрудняет анализ и реагирование на инцидент. Для домашних пользователей риск пока ниже, чем для бизнеса. Однако даже обычные атаки все больше полагаются на обман, а не на технологии.
DeepLoad довольно легко обходит системы обнаружения в Windows, которые ориентируются на подозрительное поведение сторонних программ. Кроме того, зафиксированы сценарии, где вредитель использует шифрованные каналы связи и техники маскировки трафика под обычную сетевую активность, что затрудняет его обнаружение даже на уровне корпоративных систем мониторинга.
Что делать? Несмотря на то что большинство нынешних атак целенаправленно бьют по бизнесу, есть несколько базовых мероприятийкоторые можно принять прямо сейчас:
СпецпроектыAI-диктофон TicNote: від зустрічі до готового протоколу за кілька хвилинSense Bank розширює можливості для юридичних осіб. Які нові функції запрацювали у застосунку банка
- Устанавливайте обновления Windows как можно быстрее.
- Никогда не выполняйте команды в PowerShell или командной строке, если не понимаете на 100%, что они делают.
- Относитесь с подозрением к инструкциям из сети или из электронных писем — особенно к нежелательным, что является признаком фишинга.
- Используйте актуальное программное обеспечение безопасности как дополнительный уровень защиты.
Параллельно Microsoft уже выпустила экстренные обновления безопасности в середине марта — мы о них писали. Они касаются прежде всего корпоративных версий Windows 11 — таких как 24H2 и 25H2, а также варианта LTSC.
Было устранено несколько критических уязвимостей в службе маршрутизации и удаленного доступа. Злоумышленники могли использовать эти недостатки для удаленного выполнения вредоносного кода и полного захвата системы. В некоторых сценариях для успешной атаки достаточно было просто подключиться к скомпрометированному серверу.
Текущие проблемы, к сожалению, являются частью более широкой тенденции: Microsoft Office также пострадал. В мартовский «Вторник патчей» Microsoft устранила более 80 уязвимостей. В частности критические недостатки в Excel и других приложениях Office. В некоторых случаях для выполнения вредоносного кода достаточно было просто открыть панель предварительного просмотра в Outlook.
Кроме того, первые примеры показывают, что функции ИИ — в частности Copilot — также могут создавать новые векторы атак: например, когда данные непреднамеренно передаются через автоматизированные процессы.
Microsoft заблокировала трюк по использованию NVMe для повышения производительности Windows 11
Источник: PC World
