Злоумышленники использовали драйвер Avast для обхода системы безопасности

Хакеры использовали уязвимость в драйвере Avast Anti-Rootkit для отключения защиты. Это позволило им получить полный контроль над системами своих жертв.

Исследователи из компании Trellix обнаружили эту атаку. Она была основана на так называемой BYOVD-технике, которая эксплуатирует уязвимости в устаревшем программном обеспечении.

Вредоносная программа была замаскирована под файл kill-floor.exe и устанавливала уязвимый драйвер Avast (aswArPot.sys). Этот драйвер способен завершить процессы безопасности более чем 140 различных производителей.

Драйвер работал на уровне ядра, что давало злоумышленникам возможность обходить защиту и выполнять вредоносные действия незаметно. Эксплойт использовал API DeviceIoControl, что позволяло эффективно отключать антивирусы и другие защитные механизмы.

Для защиты от подобных атак рекомендуется регулярно обновлять программное обеспечение и активно применять политики безопасности.

Ранее ITinfo сообщало, что Microsoft обнаружила глобальную сеть тайных северокорейских IT-специалистов.