Uma campanha de malware em grande escala foi descoberta utilizando um driver vulnerável do Windows, associado ao conjunto de produtos da Adlice, para contornar esforços de detecção e entregar o malware Gh0st RAT.
"Para evitar ainda mais a detecção, os atacantes geraram deliberadamente múltiplas variantes (com diferentes hashes) do driver 2.0.2 modificando partes específicas do PE enquanto mantiveram a assinatura válida", afirmou a Check Point em um novo relatório publicado na segunda-feira(24).
A empresa de cibersegurança disse que a atividade maliciosa envolveu milhares de amostras maliciosas de primeira fase que são usadas para implantar um programa capaz de encerrar o software de detecção e resposta de endpoint (EDR) por meio do que é chamado de ataque bring your own vulnerable driver (BYOVD).
Foram identificadas até 2.500 variantes distintas da versão legada 2.0.2 do vulnerável RogueKiller Antirootkit Driver, truesight.sys, na plataforma VirusTotal, embora acredite-se que o número seja provavelmente maior.
O módulo EDR-killer foi detectado e registrado pela primeira vez em junho de 2024.
O problema com o driver Truesight, um bug de terminação arbitrária de processo afetando todas as versões abaixo de 3.4.0, foi previamente armado para elaborar exploits de prova de conceito (PoC) como Darkside e TrueSightKiller que estão publicamente disponíveis desde pelo menos novembro de 2023.
Em março de 2024, a SonicWall revelou detalhes de um loader chamado DBatLoader que foi encontrado utilizando o driver truesight.sys para encerrar soluções de segurança antes de entregar o malware Remcos RAT.
Há algumas evidências que sugerem que a campanha poderia ser obra de um ator de ameaça chamado Silver Fox APT devido a certos níveis de sobreposições na cadeia de execução e nas técnicas empregadas, incluindo o "vetor de infecção, cadeia de execução, semelhanças em amostras de estágio inicial [...], e padrões históricos de segmentação."
As sequências de ataques envolvem a distribuição de artefatos de primeira fase que muitas vezes são disfarçados como aplicações legítimas e propagados através de websites enganosos oferecendo negócios em produtos de luxo e canais fraudulentos em aplicativos de mensagens populares como o Telegram.
As amostras agem como um downloader, baixando a versão legada do driver Truesight, bem como o payload útil da próxima fase que imita tipos de arquivos comuns, como PNG, JPG e GIF.
O malware de segunda fase então prossegue para recuperar outro malware que, por sua vez, carrega o módulo EDR-killer e o malware Gh0st RAT.
"Embora as variantes do driver Truesight legado (versão 2.0.2) sejam tipicamente baixadas e instaladas pelas amostras de estágio inicial, elas também podem ser implantadas diretamente pelo módulo EDR/AV killer se o driver não estiver já presente no sistema", explicou a Check Point.
Isto indica que, embora o módulo EDR/AV killer esteja totalmente integrado à campanha, ele é capaz de operar independentemente dos estágios anteriores. O módulo emprega a técnica BYOVD para abusar do driver suscetível com o propósito de terminar processos relacionados a certos softwares de segurança.
Ao fazer isso, o ataque oferece uma vantagem em que ele contorna a Microsoft Vulnerable Driver Blocklist, um mecanismo baseado em valor de hash do Windows projetado para proteger o sistema contra drivers vulneráveis conhecidos.
Os ataques culminaram com a implantação de uma variante do Gh0st RAT chamada HiddenGh0st, que é projetada para controlar sistemas comprometidos remotamente, dando aos atacantes uma maneira de conduzir roubo de dados, vigilância e manipulação de sistema.
Até 17 de dezembro de 2024, a Microsoft atualizou a lista de bloqueio de drivers para incluir o driver em questão, bloqueando efetivamente o vetor de exploração.
"Ao modificar partes específicas do driver enquanto preservavam sua assinatura digital, os atacantes contornaram métodos de detecção comuns, incluindo a mais recente Microsoft Vulnerable Driver Blocklist e mecanismos de detecção LOLDrivers, permitindo que evitassem a detecção por meses", disse a Check Point.
Explorar a vulnerabilidade de Terminação Arbitrária de Processo permitiu que o módulo EDR/AV killer mirasse e desabilitasse processos comumente associados a soluções de segurança, aumentando ainda mais a furtividade da campanha.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...