Redazione RHC : 26 Novembre 2024 18:36
Gli specialisti di Trellix hanno rilevato una nuova campagna dannosa che sfrutta il vecchio e vulnerabile driver anti-rootkit di Avast (Avast Anti-Rootkit). Gli aggressori utilizzano le tattiche BYOVD (Bring Your Own Vulnerable Driver) per eludere il rilevamento e disabilitare i componenti di sicurezza.
Il malware, che installa il driver vulnerabile sui sistemi delle vittime, è una variante del malware AV Killer. Viene fornito con un elenco codificato contenente i nomi di 142 processi di sicurezza associati a soluzioni di vari produttori.
Poiché il vecchio driver Avast può essere eseguito a livello di kernel, fornisce agli aggressori l’accesso a parti critiche del sistema operativo e consente inoltre al malware di interrompere i processi.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo gli esperti di Trellix, parte del malware (vale a dire il file kill-floor.exe) colloca il driver vulnerabile ntfs.bin nella cartella utente predefinita di Windows. Il malware crea quindi il servizio aswArPot.sys utilizzando Service Control (sc.exe) e registra il driver.
Il malware controlla quindi un elenco di 142 processi associati a vari strumenti di sicurezza e cerca corrispondenze in diverse istantanee dei processi attivi sul sistema. Se viene trovata una corrispondenza, il malware crea un handle per collegarsi al driver Avast installato e utilizza l’API DeviceIoControl per emettere i comandi IOCTL necessari e interrompere il processo.
Il malware attacca i processi di molte soluzioni di sicurezza, inclusi i prodotti di McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e BlackBerry. Disabilitandoli, il malware è in grado di eseguire liberamente azioni dannose senza generare avvisi o temere il blocco.
Vale la pena notare che questo particolare driver Avast è stato precedentemente sfruttato dagli aggressori. Ad esempio, all’inizio del 2022, i ricercatori sulla sicurezza informatica hanno riportato che AvosLocker utilizzava tattiche simili. E nel 2021, il driver anti-rootkit Avast ha sfruttato il ransomware Cuba.
Più o meno nello stesso periodo, gli esperti di SentinelLabs hanno scoperto due vulnerabilità (CVE-2022-26522 e CVE-2022-26523) che esistevano dal 2016. Questi bug hanno permesso agli aggressori di aumentare i propri privilegi sul sistema di destinazione e di sfuggire alla sandbox. Di conseguenza, gli sviluppatori Avast sono stati informati di questi problemi e la società ha risolto i bug nel dicembre 2021.
RedazioneRecentemente, abbiamo discusso una vulnerabilità critica zero-day, CVE-2025-53770, presente in Microsoft SharePoint Server, che rappresenta un bypass della precedente falla di sicurezza CVE-2025-...
Sophos ha recentemente annunciato la risoluzione di cinque vulnerabilità di sicurezza indipendenti individuate nei propri firewall, alcune delle quali di gravità critica e altre di livello a...
Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...
Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...
Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
