Малварь использует уязвимый драйвер Avast для обхода защиты

Киберпреступники запустили новую атаку, используя старый, но уязвимый драйвер Avast Anti-Rootkit, чтобы скрыться от обнаружения и получить контроль над системой. Эта атака опирается на подход «приноси свой уязвимый драйвер» (BYOVD) и позволяет вредоносному ПО отключать компоненты безопасности на целевом устройстве.

Исследователи из компании Trellix обнаружили, что малварь, известная как kill-floor.exe, использует файл драйвера ntfs.bin, который затем регистрируется в системе под именем 'aswArPot.sys'. После этого вредоносное ПО начинает отключать антивирусные процессы, используя заранее подготовленный список из 142 имен процессов, связанных с различными решениями по кибербезопасности.

В ходе атаки малварь взаимодействует с установленным драйвером Avast, используя API DeviceIoControl для выполнения необходимых команд, что позволяет завершать процессы защиты. В итоге защитные системы, включая Microsoft Defender, Symantec, Sophos и другие, оказываются отключенными, а вредоносные действия проходят без блокировок и предупреждений.

Схожие атаки с использованием уязвимого драйвера Avast наблюдались в 2022 году в ходе атак с применением программ-вымогателей AvosLocker и Cuba. Специалисты рекомендуют использовать правила, которые могут определять и блокировать компоненты на основе их цифровых подписей или хешей, чтобы предотвратить подобные атаки.