Pesquisadores de segurança cibernética da Trellix descobriram que os hackers encontraram uma nova maneira de desabilitar programas antivírus em sistemas alvo usando um driver Avast legítimo, mas antigo. Os invasores estão explorando uma vulnerabilidade que permite ao driver encerrar processos no nível do kernel.
Fonte da imagem: Ed Hardie/Unsplash
Segundo as informações, o ataque utiliza o método “traga seu próprio driver vulnerável” (BYOVD). Os invasores usam uma versão antiga do driver anti-rootkit Avast para impedir o funcionamento de vários produtos de segurança. O malware, conhecido como AV Killer, instala um driver chamado ntfs.bin na pasta padrão do Windows do usuário.
Cadeia de ataques. Fonte da imagem: Trellix
Depois de instalar o driver, o malware cria o serviço aswArPot.sys usando o utilitário Service Control (sc.exe). Depois disso, os processos ativos do sistema são verificados em uma lista pré-preparada de 142 processos associados a aplicativos antivírus. “Quando o vírus encontra uma correspondência, ele cria de forma independente um identificador para interagir com o driver Avast instalado”, explica o pesquisador Trishaan Kalra da Trellix.
Lista de processos. Fonte da imagem: Trellix
Em seguida, usando a API DeviceIoControl, o malware envia os comandos IOCTL necessários para encerrar os processos de destino. Entre os alvos do ataque estão antivírus de empresas líderes como McAfee, Symantec, Sophos e outras. Ao mesmo tempo, o método de desativação permite que hackers realizem ações maliciosas sem notificar o usuário ou bloqueá-lo dos sistemas de segurança.
Lista de processos. Fonte da imagem: Trellix
Vale a pena notar que o método em si é relativamente arcaico. Casos semelhantes foram registrados no início de 2022 ao analisar ataques utilizando o ransomware AvosLocker.
Em resposta às vulnerabilidades descobertas, o Avast lançou atualizações de segurança para seu driver, e a Microsoft, para proteção contra tais ataques, oferece o uso de uma política de bloqueio de drivers vulneráveis, que é atualizada ativamente a cada versão principal do Windows.
Uma nova linha de óculos inteligentes Meta✴Glasses com inteligência artificial foi apresentada. Segundo a empresa,…
Durante anos, os jogadores ficaram confusos sobre o nome correto da desenvolvedora de The Witcher…
A OpenAI pretende transformar o ChatGPT em um superaplicativo, e outra grande atualização está atualmente…
Na atualização mais recente do Outlook para macOS, versão 16.110, compilação 26061317, a Microsoft desativou…
Uma campanha para criar uma rede de reconhecimento e proxy baseada em uma botnet que…
A Electronic Arts, editora e desenvolvedora americana, reconheceu a IA generativa como a base de…