Hackeri zneužili legitímny antivírový ovládač na vypnutie viacerých bezpečnostných softvérov. O útoku nebudeš ani vedieť
Bezpečnostní analytici pozorovali zákerný útok, ktorý na zariadení obetí vypne bezpečnostné programy.
Bezpečnostní analytici pozorujú novú hackerskú kampaň, ktorá zneužíva legitímny, no dnes už zastaraný ovládač Avast Anti-Rootkit. Tento ovládač antivírového softvéru zneužívajú hackeri na to, aby sa dostali cez zabezpečenie systému, informuje portál Bleeping Computer.
Ide o formu AV Killer (prekl. Zabijak antivírového programu), čo je systém, ktorý sa nespája so žiadnou rodinou malvérov. V sebe má pevne zakódovaných 142 názvov bezpečnostných procesov od rôznych predajcov AV softvéru. Spomínaný ovládač operuje na úrovni kernelu, čo znamená, že má prístup ku kriticky dôležitým súčastiam operačného systému a dovoľuje malvéru ukončiť bezpečnostné procesy.
Malvér do zariadenia dostáva vlastnú verziu zastaraného a oslabeného ovládača Avast Anti-Rootkit. Táto forma útoku sa nazýva BYOVD, alebo Bring-Your-Own-Vulnerable-Driver (prekl. Prines si svoj citlivý ovládač). Vďaka tejto forme útoku môžu hackeri zneškodniť viacero bezpečnostných softvérov.
Zneškodní rôzne antivírové programy
V rámci analýzy bezpečnostní experti odhalili, že komponent malvéru s názvom kill-floor.exe doručí do zariadenia tento nebezpečný ovládač. Následne vytvára službu aswArPot.sys a registruje citlivý ovládač. Potom malvér používa napevno zakódovaný zoznam 142 bezpečnostných procesov a tie využije na to, aby tieto procesy v zariadení obete ukončil. Tým zároveň zneškodní antivírovú ochranu v zariadení obete.
Malvér podľa slov analytikov dokáže efektívne zneškodniť antivírové programy viacerých bezpečnostných spoločností, menovite McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET a BlackBerry. Po zablokovaní týchto procesov dokáže malvér v zariadení vykonávať akúkoľvek činnosť bez toho, aby sa spustila bezpečnostná výstraha alebo aby antivírový softvér malvér zastavil.
Neprehliadni
“Je dôležité spomenúť, že podobný systém útoku sme pozorovali začiatkom roka 2022, keď sme sledovali kampaň ransomwaru AvosLocker,” vysvetľujú výskumníci z Trend Micro.
Tento ransomware, po našom vydieračský malvér, pochádza z Kuby a ako prvý použil ovládač Avast Anti-Rootkit na zneškodnenie bezpečnostných opatrení na zariadeniach obetí. Približne v rovnaký čas bezpečnostní analytici zo SentinelLabs odhalili dve kriticky nebezpečné bezpečnostné medzery, ktoré existovali od roku 2016. Tieto bezpečnostné slabiny mohli kyberzločinci taktiež využiť na získanie vysokých povolení a zneškodnenie bezpečnostných produktov.
Bezpečnostní analytici informovali Avast a spoločnosť tieto slabiny opravila koncom roka 2021.
Proti podobným útokom sa užívatelia môžu brániť tým, že použijú na ochranu softvér, ktorý dokáže identifikovať a zablokovať komponenty na základe ich podpisov alebo hashov. Microsoft má vo svojom OS implementované podobné riešenie, ktoré pracuje so zoznamom blokovaných citlivých ovládačov. Tento zoznam je aktualizovaný s každou veľkou aktualizáciou Windowsu. Od operačného systému Windows 11 je toto bezpečnostné riešenie zapnuté predvolene.
Hackeri radi zneužívajú antivírové softvéry
Tento rok sa na Windows šíril aj malvér, ktorý sa vydával práve za antivírový softvér. Podvodná kampaň pozostáva z niekoľkých falošných stránok antivírových programov. Cez ne sa šíri sofistikovaný malvér obsahujúci špionážne funkcie a schopnosť kradnúť dáta užívateľov.
Samotné stránky sa podobajú na legitímne portály, ktoré užívateľom ponúkajú antivírový softvér. Táto taktika je obzvlášť zákerná, keďže tieto stránky užívatelia navštevujú, ak sa chcú pred malvérom chrániť, nie jeden do zariadenia dostať. Bezpečnostní experti postrehli falošné stránky šíriace antivírový softvér od Avastu, Bitdefenderu a Malwarebytes. Presnejšie ide o stránky “avast-securedownload.com”, “bitdefender-app.com” a “malwarebytes.pro”. Týmto stránkam sa odporúčame vyhnúť.
V prípade Avastu išlo o malvér, ktorý do zariadenia stiahol APK súbor. Z toho vyplýva, že sa hackeri pokúšali cieliť na mobilné verzie antivírového programu. Keď obeť tento malvér dostala do svojho smartfónu, dokázal čítať záznamy hovorov, SMS, kontakty a získal informácie o zariadení. K tomu vedel nahrávať audio cez mikrofón, vytvárať screenshoty a sledovať polohu zariadenia.
Hlavne v tomto predvianočnom období sa môžeš s malvérom stretnúť častejšie a v tomto článku sa dozvieš, ako sa môžeš pred ním efektívne chrániť.
Komentáre