Windows wordt onopgemerkt aangevallen door Chinese Tarrask-malware

Windows-10 logo

De Windows Task Scheduler wordt door malware misbruikt om zichzelf te verbergen. Deze hacking-tool genaamd Tarrask gebruikt een voorheen onbekende bug om het Security Descriptor-register te verwijderen. Hierdoor wordt het kwaadwillende proces niet opgemerkt door de scheduler. Zo wordt toegang tot gehackte apparaten behouden, zelfs na een reboot.

Dat schrijft Microsoft in een blogpost om bewustheid te creëren rondom de aanvallen. Deze komen van Hafnium, een door de Chinese overheid gesponsorde groep die onderdeel was van de Microsoft Exchange Meltdonw. De enorme hoeveelheid data die daarbij vrijkwam zou door China gebruikt worden voor ai-ontwikkeling. De Tarrask-software wordt gebruikt om met malware geïnfecteerde systemen kwetsbaar te houden zonder opgemerkt te worden. Hiervoor zou ook het volledige proces verwijderd kunnen worden maar dan zou na een restart de toegang verloren gaan.

De verborgen taken kunnen enkel handmatig gevonden worden door in de Windows Registry te zoeken naar taken zonder een security descriptor-waarde in de Task Key. In de logs van Security.evtx en Microsoft-Windows-TaskScheduler/Operational.evtx kan het verbergen van deze taken eventueel ook opgemerkt worden. De fabrikant raadt aan verbindingen met gevoelige data goed te monitoren. Verder wordt nog geen definitieve oplossing geboden voor de bug.

bron: Hardware.info

Inschrijven voor onze nieuwsbrief

* indicates required

Selecteer op welke manier we u mogen contacteren:


U kunt op ieder moment zich uitschrijven op onze emails door op de link te klikken in de voet van onze emails. Voor meer informatie omtrent privacy, bezoek onze website.

Wij gebruiken Mailchimp als ons marketing platform. Door onderaan op inschrijven te klikken stem je toe dat uw emailadres zal worden doorgegeven aan mailchimp om te verwerken. Lees hier meer over Mailchimp's verwerking van privacy data.