Pesquisadores de segurança cibernética da Trellix descobriram que os hackers encontraram uma nova maneira de desabilitar programas antivírus em sistemas alvo usando um driver Avast legítimo, mas antigo. Os invasores estão explorando uma vulnerabilidade que permite ao driver encerrar processos no nível do kernel.
Fonte da imagem: Ed Hardie/Unsplash
Segundo as informações, o ataque utiliza o método “traga seu próprio driver vulnerável” (BYOVD). Os invasores usam uma versão antiga do driver anti-rootkit Avast para impedir o funcionamento de vários produtos de segurança. O malware, conhecido como AV Killer, instala um driver chamado ntfs.bin na pasta padrão do Windows do usuário.
Cadeia de ataques. Fonte da imagem: Trellix
Depois de instalar o driver, o malware cria o serviço aswArPot.sys usando o utilitário Service Control (sc.exe). Depois disso, os processos ativos do sistema são verificados em uma lista pré-preparada de 142 processos associados a aplicativos antivírus. “Quando o vírus encontra uma correspondência, ele cria de forma independente um identificador para interagir com o driver Avast instalado”, explica o pesquisador Trishaan Kalra da Trellix.
Lista de processos. Fonte da imagem: Trellix
Em seguida, usando a API DeviceIoControl, o malware envia os comandos IOCTL necessários para encerrar os processos de destino. Entre os alvos do ataque estão antivírus de empresas líderes como McAfee, Symantec, Sophos e outras. Ao mesmo tempo, o método de desativação permite que hackers realizem ações maliciosas sem notificar o usuário ou bloqueá-lo dos sistemas de segurança.
Lista de processos. Fonte da imagem: Trellix
Vale a pena notar que o método em si é relativamente arcaico. Casos semelhantes foram registrados no início de 2022 ao analisar ataques utilizando o ransomware AvosLocker.
Em resposta às vulnerabilidades descobertas, o Avast lançou atualizações de segurança para seu driver, e a Microsoft, para proteção contra tais ataques, oferece o uso de uma política de bloqueio de drivers vulneráveis, que é atualizada ativamente a cada versão principal do Windows.
A Mozilla lançou a atualização mais recente do navegador Firefox, a versão 152.0. Uma das…
Nem todas as máquinas Steam Machine da Valve possuem a mesma configuração de RAM, mesmo…
O recém-anunciado jogo de ação e aventura God of War, produzido pelo estúdio americano Santa…
A logística é uma área em que a automação vem trazendo benefícios tangíveis há muitos…
Segundo um relatório de um serviço comercial de rastreamento espacial, a espaçonave chinesa Shenlong liberou…
A Samsung desenvolveu o primeiro pen drive compatível com o mais recente padrão UFS 5.0.…