Se ha encontrado una campa\u00f1a de malware a gran escala aprovechando un controlador vulnerable de Windows asociado con el conjunto de productos de Adlice para evitar los esfuerzos de detecci\u00f3n y entregar el malware de rata GH0ST.<\/p>\n
“Para evadir a\u00fan m\u00e1s la detecci\u00f3n, los atacantes generaron deliberadamente m\u00faltiples variantes (con diferentes hash) del controlador 2.0.2 modificando partes espec\u00edficas de PE mientras mantienen la firma v\u00e1lida,” Punto de control dicho<\/a> En un nuevo informe publicado el lunes.<\/p>\n La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que la actividad maliciosa involucraba a miles de muestras maliciosas de la primera etapa que se utilizan para implementar un programa capaz de terminar el software de detecci\u00f3n y respuesta de punto final (EDR) por medio de lo que se llama traer su propio ataque vulnerable (BYOVD).<\/p>\n Hasta 2.500 variantes distintas de la versi\u00f3n heredada 2.0.2 del conductor vulnerable de RogueKiller Antirootkit, Truesight.sys, se han identificado en la plataforma virustotal, aunque se cree que el n\u00famero es probablemente m\u00e1s alto. El m\u00f3dulo EDR-Killer se detect\u00f3 y grab\u00f3 por primera vez en junio de 2024.<\/p>\n El problema con el conductor de truesight, un error arbitrario de terminaci\u00f3n del proceso que afecta a todas las versiones por debajo de 3.4.0, se ha armado previamente para dise\u00f1ar exploits de prueba de concepto (POC), como Lado oscuro<\/a> y TruesightKiller<\/a> que est\u00e1n disponibles p\u00fablicamente desde al menos noviembre de 2023.<\/p>\n En marzo de 2024, SonicWall revel\u00f3 detalles de un cargador llamado DBATLOCKER que se descubri\u00f3 que hab\u00eda utilizado el controlador de Sys VISH.SY para matar soluciones de seguridad antes de entregar el malware REMCOS RAT.<\/p>\n Hay alguna evidencia que sugiere que la campa\u00f1a podr\u00eda ser el trabajo de un actor de amenaza llamado Silver Fox Apt debido a alguno<\/a> Nivel de superposiciones en la cadena de ejecuci\u00f3n y la artesan\u00eda empleada, incluido el “vector de infecci\u00f3n, la cadena de ejecuci\u00f3n, similitudes en las muestras de etapa inicial […]y patrones de orientaci\u00f3n hist\u00f3rica “.<\/p>\n Las secuencias de ataque implican la distribuci\u00f3n de artefactos de primera etapa que a menudo se disfrazan de aplicaciones leg\u00edtimas y se propagan a trav\u00e9s de sitios web enga\u00f1osos que ofrecen acuerdos de productos de lujo y canales fraudulentos en aplicaciones de mensajer\u00eda populares como Telegram.<\/p>\n Las muestras act\u00faan como un descargador, dejando caer la versi\u00f3n heredada del controlador Truesight, as\u00ed como la carga \u00fatil de la pr\u00f3xima etapa que imita los tipos de archivos comunes, como PNG, JPG y GIF. El malware de la segunda etapa luego procede a recuperar otro malware que, a su vez, carga el m\u00f3dulo EDR-Killer y el malware de rata GH0st.<\/p>\n “Si bien las variantes del controlador Legacy Truesight (versi\u00f3n 2.0.2) generalmente se descargan e instalan mediante las muestras de la etapa inicial, el m\u00f3dulo EDR\/AV Killer las puede implementar directamente si el controlador a\u00fan no est\u00e1 presente en el sistema “, Explic\u00f3 el punto de control.<\/p>\n “Esto indica que aunque el m\u00f3dulo EDR\/AV Killer est\u00e1 completamente integrado en la campa\u00f1a, es capaz de operar independientemente de las etapas anteriores”.<\/p>\n El m\u00f3dulo emplea la t\u00e9cnica BYOVD para abusar del impulsor susceptible con el fin de terminar los procesos relacionados con cierto software de seguridad. Al hacerlo, el ataque ofrece una ventaja en que evita el Lista de bloques del controlador vulnerable de Microsoft<\/a>un mecanismo de Windows basado en el valor hash dise\u00f1ado para proteger el sistema contra controladores vulnerables conocidos.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Mas-de-2500-Variantes-de-controlador-de-Sys-explotadas-para.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n