Se ha encontrado una campaña de malware a gran escala aprovechando un controlador vulnerable de Windows asociado con el conjunto de productos de Adlice para evitar los esfuerzos de detección y entregar el malware de rata GH0ST.
“Para evadir aún más la detección, los atacantes generaron deliberadamente múltiples variantes (con diferentes hash) del controlador 2.0.2 modificando partes específicas de PE mientras mantienen la firma válida,” Punto de control dicho En un nuevo informe publicado el lunes.
La compañía de seguridad cibernética dijo que la actividad maliciosa involucraba a miles de muestras maliciosas de la primera etapa que se utilizan para implementar un programa capaz de terminar el software de detección y respuesta de punto final (EDR) por medio de lo que se llama traer su propio ataque vulnerable (BYOVD).
Hasta 2.500 variantes distintas de la versión heredada 2.0.2 del conductor vulnerable de RogueKiller Antirootkit, Truesight.sys, se han identificado en la plataforma virustotal, aunque se cree que el número es probablemente más alto. El módulo EDR-Killer se detectó y grabó por primera vez en junio de 2024.
El problema con el conductor de truesight, un error arbitrario de terminación del proceso que afecta a todas las versiones por debajo de 3.4.0, se ha armado previamente para diseñar exploits de prueba de concepto (POC), como Lado oscuro y TruesightKiller que están disponibles públicamente desde al menos noviembre de 2023.
En marzo de 2024, SonicWall reveló detalles de un cargador llamado DBATLOCKER que se descubrió que había utilizado el controlador de Sys VISH.SY para matar soluciones de seguridad antes de entregar el malware REMCOS RAT.
Hay alguna evidencia que sugiere que la campaña podría ser el trabajo de un actor de amenaza llamado Silver Fox Apt debido a alguno Nivel de superposiciones en la cadena de ejecución y la artesanía empleada, incluido el “vector de infección, la cadena de ejecución, similitudes en las muestras de etapa inicial […]y patrones de orientación histórica “.
Las secuencias de ataque implican la distribución de artefactos de primera etapa que a menudo se disfrazan de aplicaciones legítimas y se propagan a través de sitios web engañosos que ofrecen acuerdos de productos de lujo y canales fraudulentos en aplicaciones de mensajería populares como Telegram.
Las muestras actúan como un descargador, dejando caer la versión heredada del controlador Truesight, así como la carga útil de la próxima etapa que imita los tipos de archivos comunes, como PNG, JPG y GIF. El malware de la segunda etapa luego procede a recuperar otro malware que, a su vez, carga el módulo EDR-Killer y el malware de rata GH0st.
“Si bien las variantes del controlador Legacy Truesight (versión 2.0.2) generalmente se descargan e instalan mediante las muestras de la etapa inicial, el módulo EDR/AV Killer las puede implementar directamente si el controlador aún no está presente en el sistema “, Explicó el punto de control.
“Esto indica que aunque el módulo EDR/AV Killer está completamente integrado en la campaña, es capaz de operar independientemente de las etapas anteriores”.
El módulo emplea la técnica BYOVD para abusar del impulsor susceptible con el fin de terminar los procesos relacionados con cierto software de seguridad. Al hacerlo, el ataque ofrece una ventaja en que evita el Lista de bloques del controlador vulnerable de Microsoftun mecanismo de Windows basado en el valor hash diseñado para proteger el sistema contra controladores vulnerables conocidos.
Los ataques culminaron con el despliegue de una variante de la rata GH0 llamada Hiddengh0st, que está diseñada para controlar de forma remota los sistemas comprometidos, dando a los atacantes una forma de realizar el robo de datos, la vigilancia y la manipulación del sistema.
Al 17 de diciembre de 2024, Microsoft ha actualizado la lista de bloques del controlador para incluir el controlador en cuestión, bloqueando efectivamente el vector de explotación.
“Al modificar partes específicas del conductor mientras preservan su firma digital, los atacantes pasaron por alto los métodos de detección comunes, incluidos los últimos mecanismos de detección de Microsoft Vulnerable Driver y Loldrivers, lo que les permite evadir la detección durante meses”, dijo Check Point.
“La explotación de la vulnerabilidad arbitraria de la terminación del proceso permitió que el módulo Killer EDR/AV se objetivo y desactive procesos comúnmente asociados con soluciones de seguridad, mejorando aún más el sigilo de la campaña”.
About the Author
