Οι ερευνητές κυβερνοασφάλειας εντόπισαν ένα νέο κακόβουλο λογισμικό που αξιοποιεί την τεχνική Bring Your Own Vulnerable Driver (BYOVD) για να παρακάμψει τις ασφάλειες και να αποκτήσει πρόσβαση σε μολυσμένα συστήματα.
Ο Trishaan Kalra, ερευνητής ασφάλειας της Trellix, εξηγεί ότι το κακόβουλο λογισμικό εγκαθιστά ένα νόμιμο πρόγραμμα οδήγησης του Avast Anti-Rootkit (aswArPot.sys), το οποίο στη συνέχεια εκμεταλλεύεται για να εκτελεί κακόβουλες ενέργειες.
Δείτε περισσότερα: Κινέζοι hackers στοχεύουν Θιβετιανές οργανώσεις με Malware
Το πρόγραμμα οδήγησης παρέχει βαθιά πρόσβαση, την οποία το κακόβουλο λογισμικό χρησιμοποιεί για να τερματίσει διεργασίες ασφαλείας, να απενεργοποιήσει λογισμικό προστασίας και να ελέγξει το σύστημα.
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Η επίθεση ξεκινά με την εκτέλεση ενός αρχείου (kill-floor.exe) που εγκαθιστά το πρόγραμμα οδήγησης της Avast ως υπηρεσία μέσω του Service Control (sc.exe). Όταν ενεργοποιηθεί, το κακόβουλο λογισμικό αποκτά πρόσβαση επιπέδου πυρήνα, επιτρέποντάς του να τερματίσει 142 διεργασίες, συμπεριλαμβανομένων αυτών που σχετίζονται με την ασφάλεια. Αυτό επιτυγχάνεται με τη σύγκριση στιγμιοτύπων ενεργών διεργασιών με μια προκαθορισμένη λίστα προς τερματισμό.
Διαβάστε επίσης: LodaRAT malware: Στοχεύει χρήστες Windows και κλέβει credentials
Ο Kalra τονίζει ότι τα προγράμματα οδήγησης επιπέδου πυρήνα έχουν τη δυνατότητα να παρακάμπτουν διεργασίες χρήστη, επιτρέποντας στο πρόγραμμα της Avast να ξεπερνάει μηχανισμούς προστασίας πολλών λύσεων antivirus και EDR.
Ο αρχικός τρόπος διείσδυσης του κακόβουλου λογισμικού παραμένει άγνωστος, όπως και το εύρος αυτών των επιθέσεων και οι στόχοι τους. Οι επιθέσεις BYOVD αποτελούν πλέον συνηθισμένη μέθοδο ανάπτυξης ransomware, χρησιμοποιώντας υπογεγραμμένα αλλά ελαττωματικά προγράμματα οδήγησης για να παρακάμπτουν ελέγχους ασφαλείας. Τον Μάιο, τα Elastic Security Labs αποκάλυψαν λεπτομέρειες σχετικά με την καμπάνια κακόβουλου λογισμικού GHOSTENGINE, που εκμεταλλεύτηκε το πρόγραμμα οδήγησης της Avast για να απενεργοποιήσει διεργασίες ασφαλείας.
Δείτε ακόμη: Νέα έκδοση του NodeStealer malware στοχεύει Facebook Ads Manager accounts
Πηγή: thehackernews