Περιεχόμενα Άρθρου
- Οι ερευνητές εντοπίζουν νέα καμπάνια που μπορεί να απενεργοποιήσει την προστασία από ιούς
- Το κακόβουλο λογισμικό χρησιμοποιεί το νόμιμο πρόγραμμα οδήγησης Avast Anti-Rootkit για πρόσβαση σε επίπεδο πυρήνα
- Μόλις απενεργοποιηθεί το antivirus, το κακόβουλο λογισμικό μπορεί να προχωρήσει χωρίς εντοπισμό
Οι χάκερ χρησιμοποιούν ένα νόμιμο πρόγραμμα οδήγησης Avast Anti-Rootkit για να συγκαλύψουν το κακόβουλο λογισμικό τους, να απενεργοποιήσουν την προστασία από ιούς και να μολύνουν συστήματα, προειδοποιούν οι ειδικοί.
Το ευάλωτο πρόγραμμα οδήγησης έχει γίνει αντικείμενο εκμετάλλευσης σε διάφορες επιθέσεις από το 2021, με τα αρχικά τρωτά σημεία να υπάρχουν τουλάχιστον από το 2016, σύμφωνα με έρευνα της Τρέλιξισχυρίστηκε, σημειώνοντας ότι το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει το ευάλωτο πρόγραμμα οδήγησης για να τερματίσει τις διαδικασίες λογισμικού ασφαλείας σε επίπεδο πυρήνα.
Το εν λόγω κακόβουλο λογισμικό ανήκει στην οικογένεια AV Killer, με την επίθεση να χρησιμοποιεί έναν φορέα που είναι γνωστός ως φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης (BYOVD) για να μολύνει το σύστημα.
Ο ιός μπορεί να απενεργοποιήσει το antivirus
Ο Trellix περιέγραψε πώς το κακόβουλο λογισμικό χρησιμοποιεί ένα αρχείο με το όνομα “kill-floor.exe” για να τοποθετήσει το ευάλωτο πρόγραμμα οδήγησης με το όνομα “ntfs.bin” στον προεπιλεγμένο φάκελο χρήστη των Windows, πριν χρησιμοποιήσει το εκτελέσιμο στοιχείο ελέγχου υπηρεσίας (sc.exe) για να καταχωρήσει το πρόγραμμα οδήγησης χρησιμοποιώντας την υπηρεσία «aswArPot.sys».
Στο κακόβουλο λογισμικό περιλαμβάνεται μια κωδικοποιημένη λίστα 142 διαδικασιών που χρησιμοποιούνται από κοινά προϊόντα ασφαλείας, η οποία χρησιμοποιείται για τον έλεγχο στιγμιότυπων διεργασιών συστήματος για τυχόν αντιστοιχίσεις.
Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί το API «DeviceIoControl» για να εκτελέσει τις σχετικές εντολές για να τερματίσει τη διαδικασία, εμποδίζοντας έτσι το λογισμικό προστασίας από ιούς να εντοπίσει το κακόβουλο λογισμικό.
Η λίστα με σκληρό κώδικα περιλαμβάνει διαδικασίες που ανήκουν σε μια σειρά προϊόντων ασφαλείας από ονόματα όπως McAfee, Avast, Microsoft Defender, BlackBerry, Sophos και πολλά άλλα.
Ως BleepingComputer επισημαίνει, δεν είναι η πρώτη φορά που μια επίθεση BYOVD εκμεταλλεύεται ένα ευάλωτο πρόγραμμα οδήγησης Avast, με 2021 Avoslocker ransomware επιθέσεις κακοποιώντας έναν οδηγό Avast Anti-Rookit. Η Sentinel Labs εντόπισε επίσης και ανέφερε δύο ελαττώματα υψηλής σοβαρότητας στην Avast την ίδια χρονιά, τα οποία διορθώθηκαν λίγο μετά.
Μπορεί επίσης να σας αρέσει
