Эксперты компании SentinelOne (зарубежный стартап в области кибербезопасности) обнаружили, что антивирус Windows Defender может использоваться хакерами для загрузки RaaS-шифровальщика LockBit 3.0 и дешифровки файлов, который является предустановленным ПО в ОС Windows.
Антивирус Windows Defender – предустановленное программное обеспечение ОС Windows, поэтому загрузка шифровальщика LockBit 3.0 может осуществляться с помощью побочной загрузки модифицированной DLL-библиотеки, которая, в свою очередь, дешифрует маяки Cobalt Strike.
Вредоносное программное обеспечение проникает через антивирус и запускает команды и некоторые инструменты постэксплуатации, после чего активно распространяется по системе компьютера.