Los investigadores de ciberseguridad han descubierto una nueva campaña maliciosa que aprovecha una técnica llamada Bring Your Own Vulnerable Driver (BYOVD) para desactivar las protecciones de seguridad y en última instancia, obtener acceso al sistema infectado.
“Este malware toma una ruta más siniestra: instala un controlador legítimo de Avast Anti-Rootkit (aswArPot.sys) y lo manipula para llevar a cabo su agenda destructiva”, dijo el investigador de seguridad de Trellix Trishaan Kalra en un análisis publicado la semana pasada.
“El malware aprovecha el acceso profundo proporcionado por el controlador para finalizar los procesos de seguridad, desactivar el software de protección y tomar el control del sistema infectado”.
El punto de partida del ataque es un archivo ejecutable (kill-floor.exe) que instala el controlador legítimo Avast Anti-Rootkit, que posteriormente se registra como un servicio que utiliza Service Control (sc.exe) para realizar sus acciones maliciosas.
Una vez que el controlador está en funcionamiento, el malware obtiene acceso a nivel de kernel del sistema, lo que le permite finalizar un total de 142 procesos, incluidos aquellos relacionados con el software de seguridad, que de otro modo podrían generar una alarma.
Esto se logra tomando instantáneas de los procesos que se están ejecutando activamente en el sistema y comparando sus nombres con la lista codificada de procesos a eliminar.
Actualmente no está claro el vector de acceso inicial exacto utilizado para lanzar el malware. Tampoco se sabe cuán extendidos son estos ataques ni quiénes son los objetivos.
Dicho esto, los ataques BYOVD se han convertido en un método cada vez más común adoptado por los actores de amenazas para implementar ransomware en los últimos años, ya que reutilizan controladores firmados pero defectuosos para eludir los controles de seguridad.
A principios de mayo, Elastic Security Labs reveló detalles de una campaña de malware GHOSTENGINE que aprovechó el controlador de Avast para desactivar los procesos de seguridad.