- Pesquisadores identificam nova campanha que pode desativar a proteção antivírus
- Malware usa driver Avast Anti-Rootkit legítimo para acessar o nível do kernel
- Depois que o antivírus é desativado, o malware pode prosseguir sem detecção
Os hackers estão usando um driver Avast Anti-Rootkit legítimo para disfarçar seu malware, desligar a proteção antivírus e infectar sistemas, alertaram especialistas.
O driver vulnerável foi explorado em uma série de ataques desde 2021, com as vulnerabilidades originais presentes pelo menos desde 2016, afirmou uma pesquisa da Trellix, observando que o malware pode usar o driver vulnerável para encerrar os processos de software de segurança no kernel nível.
O malware em questão pertence à família AV Killer, e o ataque usa um vetor conhecido como traga seu próprio driver vulnerável (BYOVD) para infectar o sistema.
O vírus pode desligar o antivírus
Trellix descreveu como o malware usa um arquivo chamado ‘kill-floor.exe’ para colocar o driver vulnerável chamado ‘ntfs.bin’ na pasta de usuário padrão do Windows, antes de usar o executável Service Control (sc.exe) para registrar o driver usando o serviço ‘aswArPot.sys’.
Incluída no malware está uma lista codificada de 142 processos usados por produtos de segurança comuns, que é usada para verificar se há correspondências em instantâneos de processos do sistema.
O malware então usa a API ‘DeviceIoControl’ para executar os comandos relevantes para encerrar o processo, evitando assim que o antivírus detecte o malware.
A lista codificada inclui processos pertencentes a vários produtos de segurança de nomes como McAfee, Avast, Microsoft Defender, BlackBerry, Sophos e muitos mais.
Como BipandoComputador aponta, esta não é a primeira vez que um ataque BYOVD explora um driver Avast vulnerável, com os ataques de ransomware Avoslocker de 2021 abusando de um driver Avast Anti-Rookit. O Sentinel Labs também detectou e relatou duas falhas de alta gravidade para o Avast no mesmo ano, que foram corrigidas logo depois.