Malware burla antivírus
25 de Novembro de 2024

Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa que utiliza uma técnica chamada Bring Your Own Vulnerable Driver (BYOVD) para desarmar proteções de segurança e, por fim, ganhar acesso ao sistema infectado.

"Este malware toma um caminho mais sinistro: ele solta um driver legítimo do Avast Anti-Rootkit (aswArPot.sys) e manipula-o para realizar sua agenda destrutiva", disse o pesquisador de segurança da Trellix, Trishaan Kalra, em uma análise publicada na semana passada.

O malware explora o acesso profundo fornecido pelo driver para terminar processos de segurança, desabilitar software protetor, e assumir controle do sistema infectado. O ponto de partida do ataque é um arquivo executável (kill-floor.exe) que solta o driver legítimo do Avast Anti-Rootkit, que é subsequentemente registrado como um serviço usando o Service Control (sc.exe) para realizar suas ações maliciosas.

Uma vez que o driver está operacional, o malware ganha acesso no nível de kernel ao sistema, permitindo que ele termine um total de 142 processos, incluindo aqueles relacionados a softwares de segurança, que poderiam de outra forma acionar um alarme.

Isso é realizado capturando snapshots dos processos ativamente em execução no sistema e verificando seus nomes contra a lista codificada de processos a serem finalizados.

"Como os drivers no modo kernel podem sobrescrever processos no modo usuário, o driver da Avast é capaz de terminar processos no nível do kernel, contornando sem esforço os mecanismos de proteção contra adulteração da maioria dos soluções de antivírus e EDR", disse Kalra.

O vetor de acesso inicial exato usado para soltar o malware atualmente não está claro.

Também não se sabe quão disseminados são esses ataques e quem são os alvos.

Dito isso, ataques BYOVD se tornaram um método cada vez mais comum adotado por atores de ameaças para implantar ransomware nos últimos anos, pois reusam drivers assinados mas falhos para burlar controles de segurança.

Mais cedo em maio, o Elastic Security Labs revelou detalhes de uma campanha de malware GHOSTENGINE que se aproveitou do driver da Avast para desligar processos de segurança.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...