{"id":1457555,"date":"2024-11-25T10:33:50","date_gmt":"2024-11-25T10:33:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-malware-que-utiliza-byovd-para-eludir-las-protecciones-antivirus\/"},"modified":"2024-11-25T10:34:09","modified_gmt":"2024-11-25T10:34:09","slug":"los-investigadores-descubren-malware-que-utiliza-byovd-para-eludir-las-protecciones-antivirus","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-malware-que-utiliza-byovd-para-eludir-las-protecciones-antivirus\/","title":{"rendered":"Los investigadores descubren malware que utiliza BYOVD para eludir las protecciones antivirus"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware\/Seguridad de Windows<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a maliciosa que aprovecha una t\u00e9cnica llamada Traiga su propio controlador vulnerable (BYOVD<\/a>) para desarmar las protecciones de seguridad y, en \u00faltima instancia, obtener acceso al sistema infectado.<\/p>\n

“Este malware toma una ruta m\u00e1s siniestra: coloca un controlador Avast Anti-Rootkit leg\u00edtimo (aswArPot.sys) y lo manipula para llevar a cabo su agenda destructiva”, dijo el investigador de seguridad de Trellix, Trishaan Kalra. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n

“El malware aprovecha el acceso profundo proporcionado por el controlador para finalizar los procesos de seguridad, desactivar el software protector y tomar el control del sistema infectado”.<\/p>\n

El punto de partida del ataque es un archivo ejecutable (kill-floor.exe) que elimina el controlador leg\u00edtimo Avast Anti-Rootkit, que posteriormente se registra como un servicio utilizando Service Control (sc.exe) para realizar sus acciones maliciosas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Una vez que el controlador est\u00e1 en funcionamiento, el malware obtiene acceso a nivel de kernel al sistema, lo que le permite finalizar un total de 142 procesos, incluidos aquellos relacionados con el software de seguridad, que de otro modo podr\u00edan generar una alarma.<\/p>\n

Esto se logra tomando instant\u00e1neas de los procesos que se ejecutan activamente en el sistema y comparando sus nombres con la lista codificada de procesos a eliminar.<\/p>\n

\"\"<\/a><\/div>\n

“Dado que los controladores en modo kernel pueden anular los procesos en modo usuario, el controlador Avast puede finalizar procesos en el nivel del kernel, evitando sin esfuerzo los mecanismos de protecci\u00f3n contra manipulaciones de la mayor\u00eda de las soluciones antivirus y EDR”, dijo Kalra.<\/p>\n

Actualmente no est\u00e1 claro el vector de acceso inicial exacto utilizado para eliminar el malware. Tampoco se sabe qu\u00e9 tan extendidos est\u00e1n estos ataques y qui\u00e9nes son los objetivos.<\/p>\n

Dicho esto, los ataques BYOVD se han convertido en un m\u00e9todo cada vez m\u00e1s com\u00fan adoptado por los actores de amenazas para implementar ransomware<\/a> en los \u00faltimos a\u00f1os, ya que reutilizan controladores firmados pero defectuosos para eludir los controles de seguridad.<\/p>\n

A principios de mayo, Elastic Security Labs revel\u00f3 detalles de una campa\u00f1a de malware GHOSTENGINE que aprovech\u00f3 el controlador Avast para desactivar los procesos de seguridad.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n