Новая методика внедрения вредоносного кода в процессы Windows, которая позволяет обходить современные защитные решения, описана экспертами enSilo.
Техника AtomBombing подразумевает применение таблиц атомов, в которых хранятся идентификаторы и строковые переменные Windows, необходимые для поддержки функционала других программ. Так как таблицы общедоступны, любая программа может вносить изменения в данные, которые содержатся в них.
Как утверждают исследователи, вирус может вносить изменения в таблицы атомов и заставлять легитимные приложения осуществлять вредоносные действия.
По словам аналитика enSilo Таля Либермана, списки доверенных процессов используются многими решениями безопасности. Злоумышленник может добавить вредоносный код в такой процесс и преодолеть защиту.
Техника AtomBombing дает вредоносной программе возможность проводить атаки типа man-in-the-browser, делать скриншоты, осуществлять перехват зашифрованных паролей и выполнять любые действия, присущие легитимному доверенному приложению.
Атаку AtomBombing можно провести на любой версии Windows. Особенностью техники является использование базовых механизмов Windows, что делает создание патча затруднительным, так как для этого необходимо переработать операционную систему.