O ator de ameaça conhecido como Silver Fox foi identificado como responsável pelo abuso de um driver vulnerável até então desconhecido, associado ao WatchDog Anti-malware, dentro de um ataque do tipo Bring Your Own Vulnerable Driver (BYOVD), com o objetivo de desabilitar soluções de segurança instaladas nos hosts comprometidos.
O driver vulnerável em questão é o "amsdk.sys" (versão 1.0.600), um driver de dispositivo do kernel do Windows de 64 bits, devidamente assinado, avaliado como sendo baseado no Zemana Anti-Malware SDK.
"Esse driver, construído sobre o Zemana Anti-Malware SDK, foi assinado pela Microsoft, não consta na Microsoft Vulnerable Driver Blocklist e não foi detectado por projetos da comunidade como o LOLDrivers", afirmou a Check Point em sua análise.
O ataque é caracterizado por uma estratégia de dupla utilização de drivers, onde um driver vulnerável conhecido do Zemana ("zam.exe") é utilizado em máquinas com Windows 7, enquanto o driver do WatchDog, não detectado, é empregado em sistemas com Windows 10 ou 11.
Foi identificado que o driver do WatchDog Anti-malware contém múltiplas vulnerabilidades, sendo a principal delas a capacidade de terminar processos arbitrários sem verificar se o processo está rodando como protegido (PP/PPL).
Além disso, ele é suscetível a elevação local de privilégio (Local Privilege Escalation - LPE), permitindo que um atacante obtenha acesso irrestrito ao dispositivo do driver.
O objetivo final da campanha, detectada pela primeira vez pela Check Point no final de maio de 2025, é explorar esses drivers vulneráveis para neutralizar produtos de proteção endpoint, abrindo caminho para a implantação e persistência de malware sem acionar defesas baseadas em assinaturas.
Conforme observado anteriormente, a campanha foi desenhada para entregar o ValleyRAT (também conhecido como Winos 4.0) como payload final, oferecendo controle e acesso remoto ao ator de ameaça.
A empresa de cibersegurança informou que os ataques empregam um loader all-in-one, que encapsula recursos de anti-análise, dois drivers incorporados, lógica para desativar antivírus e o downloader do DLL do ValleyRAT em um único binário.
"Após a execução, a amostra realiza algumas verificações comuns de anti-análise, como Anti-VM (detecção de ambientes virtuais), Anti-Sandbox (detecção de execução em sandbox), detecção de hypervisor, entre outras", explicou a Check Point.
Se alguma dessas verificações falhar, a execução é abortada e uma mensagem falsa de erro do sistema é exibida.
O downloader é projetado para se comunicar com um servidor de command-and-control (C2) para buscar a backdoor modular ValleyRAT na máquina infectada.
Após a divulgação responsável, a Watchdog lançou um patch (versão 1.1.100) para mitigar o risco de LPE aplicando uma Discretionary Access Control List (DACL) mais restritiva, embora sem corrigir o problema de término arbitrário de processos.
Isso, por sua vez, levou os atacantes a se adaptarem rapidamente, incorporando a versão modificada apenas alterando um único byte, sem invalidar a assinatura da Microsoft.
"Alterando um único byte no campo de timestamp não autenticado, eles preservaram a assinatura válida da Microsoft ao mesmo tempo em que geraram um novo hash de arquivo, efetivamente burlando blocklists baseadas em hash", observou a Check Point.
Essa técnica sutil, porém eficiente, de evasão espelha padrões vistos em campanhas anteriores.
Essa campanha demonstra como atores de ameaça estão avançando além de vulnerabilidades conhecidas para usar drivers assinados, mas desconhecidos — um ponto cego para muitos mecanismos de defesa.
A exploração de um driver vulnerável assinado pela Microsoft, anteriormente não classificado, combinada com técnicas evasivas como manipulação de assinatura, representa uma ameaça sofisticada e em evolução.
Silver Fox, também conhecido como SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 e Void Arachne, é avaliado como altamente ativo desde o início do ano passado, visando principalmente vítimas de língua chinesa, por meio de sites falsos que se passam por Google Chrome, Telegram e ferramentas com inteligência artificial (AI), como o DeepSeek, para distribuir trojans de acesso remoto como o ValleyRAT.
De acordo com a empresa chinesa de cibersegurança Antiy, o grupo de hackers é estimado como ativo desde a segunda metade de 2022, mirando usuários e empresas domésticas com a intenção de roubar segredos e aplicar fraudes.
"O grupo cibercriminoso espalha arquivos maliciosos principalmente por softwares de mensagens instantâneas (WeChat, Enterprise WeChat, etc.), promoção SEO em motores de busca, e-mails de phishing, entre outros", declarou a companhia.
O grupo 'SwimSnake' continua atualizando frequentemente seus malwares e métodos de evasão de antivírus.
Os ataques utilizam versões trojanizadas de softwares open-source, programas maliciosos desenvolvidos com o framework Qt, ou instaladores MSI disfarçados como Youdao, Sogou AI, WPS Office e DeepSeek para distribuir o ValleyRAT, incluindo seu módulo online, capaz de capturar screenshots de WeChat e bancos online.
Esse desenvolvimento ocorre enquanto a QiAnXin detalha uma campanha separada conduzida pelo "Finance Group", um subgrupo dentro do Silver Fox, que tem como alvo profissionais financeiros e gerentes de empresas e instituições, buscando saquear informações financeiras sensíveis ou lucrar diretamente via fraudes.
Esses ataques empregam iscas de phishing relacionadas a auditorias fiscais, notas fiscais eletrônicas, anúncios de subsídios e transferências de pessoal para enganar usuários a executarem trojans de acesso remoto, enquanto utilizam serviços em nuvem legítimos, como Alibaba Cloud OSS e Youdao Cloud Notes, para hospedar payloads maliciosos na tentativa de evitar detecção.
O Finance Group é um dos quatro subgrupos que compõem o Silver Fox, juntamente com o News and Romance Group, o Design and Manufacturing Group e o Black Watering Hole Group.
Curiosamente, após o Finance Group tomar controle do computador da vítima por métodos como watering hole attacks e phishing, eles assumem as contas de redes sociais da vítima e as utilizam para enviar QR codes de phishing para diversos grupos no WeChat, com o objetivo de coletar números e senhas de contas bancárias dos membros, drenando fundos para lucro próprio.
"O UTG-Q-1000 é um dos grupos de cibercrime mais ativos e agressivos na China nos últimos anos.
Suas operações são altamente organizadas, tecnicamente sofisticadas e motivadas financeiramente", afirmou a QiAnXin.
Eles estabeleceram uma cadeia completa de lucro no mercado negro envolvendo: espionagem (roubo de dados), controle remoto via malware e fraudes financeiras e phishing.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...