Los piratas informáticos están utilizando una herramienta completamente nueva para deshabilitar los programas antivirus instalados en los dispositivos, antes de implementar malware más dudoso y, a veces, incluso ransomware, advirtieron los investigadores.
Los investigadores de ciberseguridad de Sophos X-Ops observaron recientemente a los actores de amenazas que utilizan el método Bring Your Own Vulnerable Driver (BYOVD) para implementar una herramienta llamada AuKill, capaz de deshabilitar los programas de seguridad.
Primero, deben colocar un controlador legítimo pero vulnerable en el punto final de destino. Esto generalmente se hace a través de ataques por correo electrónico, distribuyendo el controlador a través de correos electrónicos de phishing. El controlador, capaz de ejecutarse con privilegios de kernel, se llama procexp.sys y generalmente se entrega junto al actual, utilizado por Process Explorer v16.32 de Microsoft (un programa legítimo que recopila datos sobre procesos activos de Windows).
Traiga su propio conductor vulnerable
Una vez que el programa legítimo ejecuta la DLL maliciosa, primero verificará si se está ejecutando con privilegios de SISTEMA y se asegurará de que lo haga haciéndose pasar por el instalador de módulos de Windows TrustedInstaller. Luego, inicia múltiples subprocesos, probando y deshabilitando varios procesos y servicios de seguridad.
Después de deshabilitar los programas de seguridad en la computadora, los operadores de AuKill implementarán malware de etapa dos. Según el informe de Sophos X-Ops, a veces los actores de amenazas implementarán Medusa Locker o LockBit, ambas variantes de ransomware extremadamente potentes y populares.
«La herramienta se utilizó durante al menos tres incidentes de ransomware desde principios de 2023 para sabotear la protección del objetivo e implementar el ransomware», advirtieron los investigadores. «En enero y febrero, los atacantes implementaron el ransomware Medusa Locker después de usar la herramienta; en febrero, un atacante usó AuKill justo antes de implementar el ransomware Lockbit».
Si bien la herramienta parece relativamente nueva y acaba de ser vista, una de sus variantes lleva una marca de tiempo de noviembre de 2022. La versión más reciente descubierta se compiló a mediados de febrero, concluyen los investigadores. Su código es similar al de Backstab, una herramienta de código abierto que también es capaz de deshabilitar programas antivirus. Los investigadores han visto a los operadores de LockBit implementar Backstab en el pasado.
«Hemos encontrado múltiples similitudes entre la herramienta de código abierto Backstab y AuKill», dice el equipo de Sophos. «Algunas de estas similitudes incluyen cadenas de depuración características similares y una lógica de flujo de código casi idéntica para interactuar con el controlador».
Vía: BleepingComputer (se abre en una pestaña nueva)