การโจมตีทางไซเบอร์ครั้งใหม่กำลังใช้ประโยชน์จากไดรเวอร์ Avast Anti-Rootkit เวอร์ชันเก่าที่มีช่องโหว่ เพื่อหลบหลีกการตรวจจับและควบคุมระบบเป้าหมาย
กูรูข่าวหลุด จากบริษัทความมั่นคงปลอดภัยทางไซเบอร์ Trellix เปิดเผยถึงการโจมตีที่มีความซับซ้อนโดยใช้มัลแวร์ที่สามารถปิดกั้นโปรแกรมป้องกันไวรัสได้อย่างมีประสิทธิภาพ มัลแวร์นี้มีความสามารถพิเศษในการตรวจสอบและปิดกระบวนการรักษาความปลอดภัยถึง 142 กระบวนการ
การโจมตีเริ่มต้นด้วยการทิ้งไฟล์ kill-floor.exe ซึ่งจะเรียกใช้ไดรเวอร์ที่มีชื่อว่า ntfs.bin ลงในโฟลเดอร์ผู้ใช้เริ่มต้นของ Windows จากนั้นจะสร้างบริการ ‘aswArPot.sys’ และลงทะเบียนไดรเวอร์ มัลแวร์ตัวนี้สามารถเข้าถึงระดับ Kernel ของระบบปฏิบัติการ ทำให้สามารถปิดกระบวนการรักษาความปลอดภัยจาก บริษัทชั้นนำอย่าง McAfee, Symantec, Sophos, Trend Micro, Microsoft Defender และอื่นๆ ได้อย่างง่ายดาย
นักวิจัย Trishaan Kalra เผยว่า เมื่อพบกระบวนการที่ตรงกับรายชื่อ มัลแวร์จะสร้างจุดอ้างอิงไปยังไดรเวอร์ Avast และใช้ API พิเศษเพื่อยุติการทำงานของโปรแกรมป้องกันไวรัส นักวิจัยพบว่าเทคนิคนี้ถูกใช้มาแล้วในการโจมตีแรนซัมแวร์ AvosLocker ตั้งแต่ต้นปี 2022 และยังพบในการโจมตีของแรนซัมแวร์ Cuba อีกด้วย
Microsoft และ Trellix แนะนำให้ใช้นโยบายบล็อกไดรเวอร์ที่มีช่องโหว่ โดยเริ่มจาก Windows 11 2022 จะมีการเปิดใช้งานค่าเริ่มต้นบนอุปกรณ์ทั้งหมด
แหล่งที่มา : BLEEPINGCOMPUTER
