Pesquisadores de segurança cibernética da Trellix descobriram que os hackers encontraram uma nova maneira de desabilitar programas antivírus em sistemas alvo usando um driver Avast legítimo, mas antigo. Os invasores estão explorando uma vulnerabilidade que permite ao driver encerrar processos no nível do kernel.
Fonte da imagem: Ed Hardie/Unsplash
Segundo as informações, o ataque utiliza o método “traga seu próprio driver vulnerável” (BYOVD). Os invasores usam uma versão antiga do driver anti-rootkit Avast para impedir o funcionamento de vários produtos de segurança. O malware, conhecido como AV Killer, instala um driver chamado ntfs.bin na pasta padrão do Windows do usuário.
Cadeia de ataques. Fonte da imagem: Trellix
Depois de instalar o driver, o malware cria o serviço aswArPot.sys usando o utilitário Service Control (sc.exe). Depois disso, os processos ativos do sistema são verificados em uma lista pré-preparada de 142 processos associados a aplicativos antivírus. “Quando o vírus encontra uma correspondência, ele cria de forma independente um identificador para interagir com o driver Avast instalado”, explica o pesquisador Trishaan Kalra da Trellix.
Lista de processos. Fonte da imagem: Trellix
Em seguida, usando a API DeviceIoControl, o malware envia os comandos IOCTL necessários para encerrar os processos de destino. Entre os alvos do ataque estão antivírus de empresas líderes como McAfee, Symantec, Sophos e outras. Ao mesmo tempo, o método de desativação permite que hackers realizem ações maliciosas sem notificar o usuário ou bloqueá-lo dos sistemas de segurança.
Lista de processos. Fonte da imagem: Trellix
Vale a pena notar que o método em si é relativamente arcaico. Casos semelhantes foram registrados no início de 2022 ao analisar ataques utilizando o ransomware AvosLocker.
Em resposta às vulnerabilidades descobertas, o Avast lançou atualizações de segurança para seu driver, e a Microsoft, para proteção contra tais ataques, oferece o uso de uma política de bloqueio de drivers vulneráveis, que é atualizada ativamente a cada versão principal do Windows.
Após o sucesso cult do RPG de detetive Disco Elysium, a mais recente adição à…
A empresa taiwanesa iPass lançou um novo cartão de pagamento que se parece exatamente com…
O especialista em programação de baixo nível Mohamed Maatallah, conhecido pelo apelido de Zephkek, descobriu…
O problema clássico da computação quântica é o aumento da taxa de erros conforme o…
Clair Obscur: Expedition 33, o RPG de fantasia por turnos da Sandfall Interactive com lançamento…
Em menos de cinco anos, a xAI de Elon Musk terá mais poder computacional do…