El antivirus traidor: el controlador de Avast se convierte en la llave para el control total del sistema

Los especialistas de Trellix descubrieron una nueva campaña en la que se utilizan componentes confiables de programas antivirus para comprometer sistemas. En lugar de intentar evadir la protección, los atacantes emplean el controlador legítimo Avast Anti-Rootkit para desactivar el software de protección y obtener control sobre los ordenadores.

El mecanismo del ataque funciona así: el malware primero carga el controlador Avast en el sistema como si fuera un archivo común. Luego, mediante un comando especial, lo registra como un servicio que otorga acceso al núcleo del sistema operativo. Esto permite al programa finalizar procesos de antivirus y otros sistemas de protección, eludiendo sus mecanismos de seguridad estándar.

El malware, denominado AV Killer, carga el controlador confiable y analiza los procesos activos en el dispositivo, comparándolos con una lista predefinida de 142 objetivos, que incluyen soluciones antivirus de empresas como McAfee, Symantec, Sophos, Microsoft Defender, SentinelOne, entre otras. Si el proceso coincide con uno de los objetivos de la lista, el malware utiliza la API DeviceIoControl para enviar comandos al controlador y finalizar el proceso. El nivel de acceso del controlador permite al malware finalizar procesos en el núcleo del sistema operativo.

Tras desactivar la protección, el malware obtiene control total del sistema, lo que permite a los hackers robar datos, instalar software malicioso o lograr otros objetivos.

Los expertos explican que los ataques BYOVD (Bring Your Own Vulnerable Driver) están ganando popularidad. En estos ataques, se explotan vulnerabilidades de controladores legítimos para infiltrarse en los sistemas. Por ejemplo, los hackers del grupo Lazarus llevaron a cabo un ataque similar, aprovechando una vulnerabilidad en el controlador de Windows AppLocker para obtener acceso a nivel del núcleo y desactivar las herramientas de seguridad, evitando ser detectados.

Para protegerse de estas amenazas, Trellix recomienda reglas específicas que ayudan a bloquear el uso de controladores vulnerables. Estas reglas están basadas en características únicas de los controladores y previenen su ejecución incluso si tienen vulnerabilidades. La implementación de estas reglas en sistemas antivirus y EDR ayuda a identificar la amenaza con anticipación y detener el ataque. Los expertos instan a las empresas a actualizar su software de protección e incorporar nuevos mecanismos para combatir amenazas avanzadas, minimizando así los riesgos de estos ataques.

A pesar de las recomendaciones de utilizar sistemas EDR, cabe destacar que en agosto el grupo RansomHub comenzó a emplear un nuevo software malicioso que desactiva las soluciones EDR en los dispositivos para evadir los mecanismos de seguridad y obtener control total del sistema.