Pesquisadores em cibersegurança identificaram uma sofisticada campanha maliciosa que utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD) para contornar medidas de proteção e comprometer sistemas. Essa estratégia envolve o uso de drivers legítimos, mas vulneráveis, para desativar softwares de segurança e ganhar acesso irrestrito ao sistema.
Como funciona o ataque
O processo inicia com a execução de um arquivo chamado kill-floor.exe, que instala um driver legítimo do Avast Anti-Rootkit (aswArPot.sys). Esse driver é registrado como um serviço por meio do comando Service Control (sc.exe), mas ao invés de funcionar normalmente, ele é manipulado pelo malware para realizar atividades destrutivas.
Uma vez em operação, o malware usa o acesso ao kernel para identificar e encerrar processos críticos, incluindo aqueles relacionados à segurança. Ao todo, 142 processos podem ser desativados, eliminando qualquer resistência do sistema. A técnica se baseia na habilidade de drivers do kernel em sobrepor-se a processos do modo usuário, contornando facilmente mecanismos antivírus e ferramentas de detecção e resposta a endpoint (EDR).
Notícias Relacionadas
Ataque cibernético
APT-K-47 utiliza iscas temáticas de Hajj para entregar malware avançado Asyncshell
APT-K-47, também conhecida como Mysterious Elephant, utiliza iscas temáticas de Hajj para distribuir malware Asyncshell avançado, visando principalmente entidades paquistanesas.
Cibersegurança e crimes digitais
Hackers norte-coreanos roubaram R$ 58 milhões com golpes de IA no LinkedIn
Grupo de hackers norte-coreano utiliza IA e táticas de engenharia social para roubar milhões em criptomoedas via LinkedIn e malwares. Mais de US$ 10 milhões foram subtraídos.
Aumento de casos com a técnica BYOVD
Embora o vetor inicial do ataque permaneça desconhecido, os pesquisadores alertam para o aumento do uso da técnica BYOVD, especialmente em ataques de ransomware. Ao reutilizar drivers assinados, mas defeituosos, os agentes maliciosos conseguem explorar falhas legítimas sem levantar suspeitas.
Em maio, outra campanha intitulada GHOSTENGINE, revelada pelo Elastic Security Labs, também utilizou o driver do Avast para desativar sistemas de segurança. Esse padrão reforça a necessidade de um monitoramento constante e de práticas avançadas de segurança para evitar explorações futuras.
Proteção contra ameaças BYOVD
Para se proteger, é crucial manter sistemas e drivers atualizados, além de usar soluções de segurança que identifiquem comportamentos suspeitos mesmo em componentes legítimos. Adotar um monitoramento em tempo real e auditorias regulares pode ser a chave para evitar ataques similares.
