Los investigadores de ciberseguridad han descubierto una nueva campaña maliciosa que aprovecha una técnica llamada Traiga su propio controlador vulnerable (BYOVD) para desarmar las protecciones de seguridad y, en última instancia, obtener acceso al sistema infectado.
“Este malware toma una ruta más siniestra: coloca un controlador Avast Anti-Rootkit legítimo (aswArPot.sys) y lo manipula para llevar a cabo su agenda destructiva”, dijo el investigador de seguridad de Trellix, Trishaan Kalra, en un análisis publicado la semana pasada.
“El malware aprovecha el acceso profundo proporcionado por el controlador para finalizar los procesos de seguridad, desactivar el software protector y tomar el control del sistema infectado”.
El punto de partida del ataque es un archivo ejecutable (kill-floor.exe) que elimina el controlador legítimo Avast Anti-Rootkit, que posteriormente se registra como un servicio utilizando Service Control (sc.exe) para realizar sus acciones maliciosas.
Una vez que el controlador está en funcionamiento, el malware obtiene acceso a nivel de kernel al sistema, lo que le permite finalizar un total de 142 procesos, incluidos aquellos relacionados con el software de seguridad, que de otro modo podrían generar una alarma.
Esto se logra tomando instantáneas de los procesos que se ejecutan activamente en el sistema y comparando sus nombres con la lista codificada de procesos a eliminar.
“Dado que los controladores en modo kernel pueden anular los procesos en modo usuario, el controlador Avast puede finalizar procesos en el nivel del kernel, evitando sin esfuerzo los mecanismos de protección contra manipulaciones de la mayoría de las soluciones antivirus y EDR”, dijo Kalra.
Actualmente no está claro el vector de acceso inicial exacto utilizado para eliminar el malware. Tampoco se sabe qué tan extendidos están estos ataques y quiénes son los objetivos.
Dicho esto, los ataques BYOVD se han convertido en un método cada vez más común adoptado por los actores de amenazas para implementar ransomware en los últimos años, ya que reutilizan controladores firmados pero defectuosos para eludir los controles de seguridad.
A principios de mayo, Elastic Security Labs reveló detalles de una campaña de malware GHOSTENGINE que aprovechó el controlador Avast para desactivar los procesos de seguridad.