hid-omg-detect: készülő Linux-driver a rosszindulatú HID-eszközök felismerésére

Beküldte kami911 - 2026. ápr. 05. 18:25

Új, fejlesztés alatt álló kernelmodul készül hid-omg-detect néven, amely passzívan figyeli a csatlakozó HID-eszközöket, és megpróbálja kiszúrni a rosszindulatú billentyűzeteket vagy egereket. A gyanút többek közt a „túl gépies” leütésidőzítés, az enumeráció utáni azonnali gépelés, ismert gyanús vendor/product ID-k és rendellenes HID descriptorok alapján állapítja meg. Ha egy eszköz átlép egy beállítható küszöbértéket, a modul riasztást ad, és user-space eszközökkel (például USBGuarddal) együtt akár le is tiltható. A megoldás nem blokkol önmagában, nem módosítja és nem késlelteti a HID eseményeket – jelenleg levelezőlistán zajlik a szakmai egyeztetés róla.

Egy új trükk, amellyel a kártevő átcsúszhat a szűrőkön

Beküldte kami911 - 2026. ápr. 04. 22:04

Új kártevő-terjesztési trükk terjed „Zombie ZIP” néven, amely nem a payloadot rejti el, hanem a ZIP konténer fejlécével vezeti félre a vírusirtókat és EDR-eket. A manipulált archívum azt állítja magáról, hogy tömörítetlen, miközben valójában DEFLATE-tal tömörített adatot tartalmaz – így a védelem könnyen csak értelmetlen bájtokat lát, a támadó eszköze viszont gond nélkül kibontja a valódi tartalmat. A publikált PoC szerint ugyanaz a minta a „normál” ZIP-ben még felismerhető volt, a Zombie ZIP változat viszont a VirusTotalon kiugróan magas elkerülési arányt ért el. A lényeg: ez nem a felhasználó kicsomagolására épít, hanem arra, hogy a fájl átcsússzon az e-mailes és hálózati ellenőrzési pontokon, mielőtt bárki gyanút fogna.