Gli esperti di cybersecurity hanno scoperto una nuova campagna malevola che utilizza una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD) per aggirare le protezioni di sicurezza e ottenere l'accesso al sistema infetto. Questa campagna maligna adotta un approccio particolarmente insidioso: distribuisce un driver legittimo di Avast Anti-Rootkit (aswArPot.sys) e lo manipola per eseguire il suo piano distruttivo. Come spiegato dagli esperti di Trellix, il driver viene sfruttato per ottenere un accesso profondo al sistema, consentendo l'eliminazione dei processi di sicurezza, la disabilitazione dei software protettivi e il controllo completo del sistema infetto.
Il punto di partenza dell'attacco è un file eseguibile (kill-floor.exe) che rilascia il driver legittimo di Avast Anti-Rootkit. Il driver viene poi registrato come servizio utilizzando il Service Control (sc.exe) per eseguire le azioni malevole. Una volta operativo, il malware acquisisce accesso a livello kernel al sistema, permettendo di terminare un totale di 142 processi, inclusi quelli legati a software di sicurezza che altrimenti avrebbero potuto lanciare un allarme. Questo viene realizzato scattando istantanee dei processi attivi sul sistema e confrontando i loro nomi con una lista codificata di processi da eliminare.
Poiché i driver in modalità kernel possono sovrascrivere i processi in modalità utente, il driver di Avast è in grado di terminare i processi a livello kernel, bypassando facilmente le protezioni contro le manomissioni della maggior parte delle soluzioni antivirus e EDR (Endpoint Detection and Response). Attualmente, il vettore di accesso iniziale utilizzato per diffondere il malware non è chiaro, così come non è noto l'ambito di diffusione di questi attacchi e chi siano i bersagli.
Detto ciò, gli attacchi BYOVD sono diventati un metodo sempre più comune adottato dagli attori delle minacce per distribuire ransomware negli ultimi anni, poiché riutilizzano driver firmati ma difettosi per eludere i controlli di sicurezza. Lo scorso maggio, Elastic Security Labs ha rivelato i dettagli di una campagna malware GHOSTENGINE che sfruttava il driver di Avast per disattivare i processi di sicurezza. Questi sviluppi sottolineano l'importanza di monitorare e gestire attentamente i driver e le vulnerabilità ad essi associate per proteggere i sistemi dalle minacce emergenti.