Pesquisadores de segurança cibernética da Trellix descobriram que os hackers encontraram uma nova maneira de desabilitar programas antivírus em sistemas alvo usando um driver Avast legítimo, mas antigo. Os invasores estão explorando uma vulnerabilidade que permite ao driver encerrar processos no nível do kernel.
Fonte da imagem: Ed Hardie/Unsplash
Segundo as informações, o ataque utiliza o método “traga seu próprio driver vulnerável” (BYOVD). Os invasores usam uma versão antiga do driver anti-rootkit Avast para impedir o funcionamento de vários produtos de segurança. O malware, conhecido como AV Killer, instala um driver chamado ntfs.bin na pasta padrão do Windows do usuário.
Cadeia de ataques. Fonte da imagem: Trellix
Depois de instalar o driver, o malware cria o serviço aswArPot.sys usando o utilitário Service Control (sc.exe). Depois disso, os processos ativos do sistema são verificados em uma lista pré-preparada de 142 processos associados a aplicativos antivírus. “Quando o vírus encontra uma correspondência, ele cria de forma independente um identificador para interagir com o driver Avast instalado”, explica o pesquisador Trishaan Kalra da Trellix.
Lista de processos. Fonte da imagem: Trellix
Em seguida, usando a API DeviceIoControl, o malware envia os comandos IOCTL necessários para encerrar os processos de destino. Entre os alvos do ataque estão antivírus de empresas líderes como McAfee, Symantec, Sophos e outras. Ao mesmo tempo, o método de desativação permite que hackers realizem ações maliciosas sem notificar o usuário ou bloqueá-lo dos sistemas de segurança.
Lista de processos. Fonte da imagem: Trellix
Vale a pena notar que o método em si é relativamente arcaico. Casos semelhantes foram registrados no início de 2022 ao analisar ataques utilizando o ransomware AvosLocker.
Em resposta às vulnerabilidades descobertas, o Avast lançou atualizações de segurança para seu driver, e a Microsoft, para proteção contra tais ataques, oferece o uso de uma política de bloqueio de drivers vulneráveis, que é atualizada ativamente a cada versão principal do Windows.
O recurso Rambler está sendo transformado em um portal baseado no grande modelo de linguagem…
Fonte da imagem: Inkle Os fãs do Steam, da rede social Bluesky e do fórum…
A administração do serviço de mensagens instantâneas Telegram lançou uma atualização urgente para o aplicativo…
Os cientistas afirmam que estamos a apenas alguns segundos da descoberta da matéria escura. O…
A história do surgimento da primeira empresa TSMC no Japão foi única à sua maneira.…
Meta✴ pretende encher as redes sociais com personagens criados com inteligência artificial nos próximos anos.…