Dans la capture d'écran, ce qui suit se produit: le pilote audio recherche s'il existe une entrée dans le registre Windows, ne la trouve pas et écrit un fichier audio sur le disque dur. L'enquête a découvert un bogue dans le pilote de la puce audio Realtek: elle a vérifié la présence d'un indicateur activant le mode de débogage (DebugFunction = 1), mais elle a mal résolu la situation lorsqu'il n'y avait pas d'entrée dans le registre, et a commencé, à l'insu de l'utilisateur, à enregistrer le son du microphone chaque fois qu'il s'adressait à lui-même (par exemple lorsque le chercheur ouvrait les paramètres sonores).
Vous pouvez comprendre le responsable de la sécurité qui a demandé l'audit: un tas d'enregistrements de microphone dans le répertoire temporaire de Windows sont très similaires aux traces d'un logiciel espion. Jusqu'en mars 2020, une telle activité de pilote audio pourrait passer inaperçue. Mais avec la transition vers le travail à distance, les enregistrements de nombreuses heures de conférence téléphonique ont commencé à tomber sur le disque système. Dans certains cas, cela a même conduit au débordement du lecteur. Ce qui, apparemment, a lancé l'enquête sur cet incident. Cependant, un comportement étrange de l'ordinateur n'indique pas toujours une activité malveillante - parfois c'est juste une erreur.
Le blog ERNW ne dispose d'aucune donnée sur la prévalence de ce problème. Seule une version spécifique du pilote avec un échec est indiquée - Realtek High Definition Audio Driver 6.0.1.8045. Le développeur a fait une erreur assez courante: un fonctionnement incorrect du pilote était invisible lors du débogage, lorsque la clé requise était enregistrée dans le registre. Et encore une chose: une telle "fonctionnalité" d'un logiciel standard est facile à adapter pour des actions vraiment malveillantes.
Que s'est-il passé d'autre
Recherche effectuée par Kaspersky Lab. Le premier consiste à réduire le nombre absolu d'attaques de ransomware-ransomware sur les PC des utilisateurs. Ne vous relâchez pas: les opérateurs sont clairement passés des malwares répandus à des attaques ciblées contre les entreprises. Le second est un rapport sur l'activité des groupes APT au premier trimestre 2021.
Brian Krebs écrit sur un trou dans l'API d'Experian, un important bureau de crédit américain. Pendant longtemps, la base de données était accessible sans autorisation.
Les crypto-monnaies tuent les outils d'intégration continue gratuits. Le blog de LayerCI, fournisseur d'une telle solution, décrittente d'abuser des systèmes qui vous permettent d'exécuter votre propre code sur les ressources d'autres personnes pour l'extraction de crypto-monnaies.
Plus de 4 millions d'adresses e-mail sont apparues dans la base de données Haveibeenpwned après la destruction du botnet Emotet. Une telle source de données non standard permettra d'avertir les utilisateurs dont les mots de passe ont été volés à la suite d'une infection par un logiciel malveillant sur leur ordinateur.