Uma nova campanha maliciosa está usando um driver Avast Anti-Rootkit legítimo, mas antigo e vulnerável, para evitar a detecção e assumir o controle do sistema alvo desabilitando componentes de segurança.
O malware que instala o driver é uma variante de um AV Killer sem nenhuma família específica. Ele vem com uma lista codificada de 142 nomes para processos de segurança de vários fornecedores. Como o driver pode operar no nível do kernel, ele fornece acesso a partes críticas do sistema operacional e permite que o malware encerre processos. Pesquisadores de segurança da empresa de segurança cibernética Trellix descobriram recentemente um novo ataque que utiliza a abordagem “traga seu próprio driver vulnerável” (BYOVD) com uma versão antiga do driver anti-rootkit para interromper produtos de segurança em um sistema alvo. Eles explicam que um pedaço de malware com o nome de arquivo
kill-floor.exe instala o driver vulnerável com o nome de arquivo
ntfs.bin na pasta de usuário padrão do Windows. Em seguida, o malware cria o serviço ‘aswArPot.sys’ usando o Service Control (sc.exe) e registra o driver.
O malware então usa uma lista codificada de 142 processos associados a ferramentas de segurança e os verifica em relação a vários instantâneos de processos ativos no sistema.
O pesquisador da Trellix, Trishaan Kalra, diz que quando encontra uma correspondência, “o malware cria um identificador para referenciar o driver Avast instalado”.
Em seguida, ele utiliza a API ‘DeviceIoControl’ para emitir os comandos IOCTL necessários para encerrá-lo.
Como visto na captura de tela acima, o malware tem como alvo processos de várias soluções de segurança, incluindo as da McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e BlackBerry.
Com as defesas desativadas, o malware pode realizar atividades maliciosas sem disparar alertas ao usuário ou ser bloqueado.
A Microsoft também tem soluções, como o
arquivo de política de lista de bloqueio de driver vulnerável , que é atualizado a cada versão principal do Windows. A partir do Windows 11 2022, a lista está ativa por padrão em todos os dispositivos. A versão mais recente da lista é possível por meio do App Control for Business.