Pesquisadores de segurança cibernética da Trellix descobriram que os hackers encontraram uma nova maneira de desabilitar programas antivírus em sistemas alvo usando um driver Avast legítimo, mas antigo. Os invasores estão explorando uma vulnerabilidade que permite ao driver encerrar processos no nível do kernel.

Fonte da imagem: Ed Hardie/Unsplash

Segundo as informações, o ataque utiliza o método “traga seu próprio driver vulnerável” (BYOVD). Os invasores usam uma versão antiga do driver anti-rootkit Avast para impedir o funcionamento de vários produtos de segurança. O malware, conhecido como AV Killer, instala um driver chamado ntfs.bin na pasta padrão do Windows do usuário.

Cadeia de ataques. Fonte da imagem: Trellix

Depois de instalar o driver, o malware cria o serviço aswArPot.sys usando o utilitário Service Control (sc.exe). Depois disso, os processos ativos do sistema são verificados em uma lista pré-preparada de 142 processos associados a aplicativos antivírus. “Quando o vírus encontra uma correspondência, ele cria de forma independente um identificador para interagir com o driver Avast instalado”, explica o pesquisador Trishaan Kalra da Trellix.

Lista de processos. Fonte da imagem: Trellix

Em seguida, usando a API DeviceIoControl, o malware envia os comandos IOCTL necessários para encerrar os processos de destino. Entre os alvos do ataque estão antivírus de empresas líderes como McAfee, Symantec, Sophos e outras. Ao mesmo tempo, o método de desativação permite que hackers realizem ações maliciosas sem notificar o usuário ou bloqueá-lo dos sistemas de segurança.

Lista de processos. Fonte da imagem: Trellix

Vale a pena notar que o método em si é relativamente arcaico. Casos semelhantes foram registrados no início de 2022 ao analisar ataques utilizando o ransomware AvosLocker.

Em resposta às vulnerabilidades descobertas, o Avast lançou atualizações de segurança para seu driver, e a Microsoft, para proteção contra tais ataques, oferece o uso de uma política de bloqueio de drivers vulneráveis, que é atualizada ativamente a cada versão principal do Windows.

avalanche

Postagens recentes

O atirador espião da velha escola Agente 64: Spies Never Die no espírito de GoldenEye e Perfect Dark não demorará a chegar – novo trailer e data de lançamento

\nDesenvolvedor solo independente sob o pseudônimo Replicant D6 anunciou a data exata de lançamento de…

1 hora atrás

Na região de Moscou, o custo do aluguel de terrenos para a construção de um data center aumentou dez vezes

\nNa região de Moscou, o custo do aluguel de terrenos estatais para a construção de…

2 horas atrás

A Intel apresentou o processador espacial Starfire – é capaz de operar em temperaturas de -55 a +125 ° C

\nA Intel lançou o processador Starfire, projetado para naves espaciais e outros sistemas que operam…

2 horas atrás

“Enquanto eu assistia isso, minha placa de vídeo começou a chorar”: o primeiro gameplay de Total War: Warhammer 40.000 fez os jogadores duvidarem de seus PCs

\nO estúdio britânico Creative Assembly (de propriedade da Sega) realizou a primeira demonstração de jogabilidade…

4 horas atrás

A Valve admitiu que o indicador de superaquecimento da Steam Machine está disparando muito cedo – uma atualização do BIOS resolverá o problema

\nA Valve informou que o sistema de proteção contra superaquecimento do mini-PC Steam Machine não…

4 horas atrás

A UE impôs sanções contra VK e o desenvolvedor do mensageiro Max

\nO Conselho da União Europeia ampliou a lista de sanções para incluir a empresa VK…

5 horas atrás