Популярный антируткит стал оружием для киберпреступников

Задуманный как защитный инструмент, драйвер Windows из программы Adlice оказался на службе у киберпреступников. Вредоносные кампании активно используют уязвимость в его версии 2.0.2 для обхода систем безопасности и распространения Gh0st RAT — вируса, позволяющего удаленно управлять заражёнными устройствами.

Модифицированные версии драйвера, которые сохраняют цифровую подпись, обходят методы обнаружения, что позволяет злоумышленникам легко внедрять вредоносный код. С момента обнаружения проблемы в июне 2024 года, количество зарегистрированных атак только растет. Всего на платформе VirusTotal зафиксировано более 2500 вариаций уязвимой версии драйвера.

Механизм BYOVD (Bring Your Own Vulnerable Driver) позволяет киберпреступникам отключать антивирусные и EDR-системы, чтобы загружать на устройства дополнительные вирусы. Это может привести к краже данных, удалённому контролю и шпионской активности. Несмотря на блокировку драйвера Microsoft в декабре 2024 года, злоумышленники продолжают обходить новые меры безопасности.

Среди жертв кампании — в основном пользователи из Китая, а также Сингапура и Тайваня. Распространение вируса происходит через фальшивые сайты и мошеннические каналы в Telegram, где пользователи загружают заражённые файлы, маскирующиеся под легитимные приложения.

Несмотря на усилия по блокировке уязвимости, данная атака остаётся актуальной угрозой для пользователей по всему миру.