Seleziona una pagina
domenica, Apr 23

AuKill usa Process Explorer per distribuire ransomware

Da Punto-Informatico.it :

Gli esperti di Sophos hanno individuato un tool, denominato AuKill, che sfrutta una vecchia versione del driver di Process Explorer per disattivare le soluzioni di sicurezza e copiare backdoor o ransomware sul computer. In particolare sono stati distribuiti Medusa Locker e LockBit tra gennaio e febbraio 2023. Le sei varianti di AuKill in circolazione condividono alcune parti di codice con il tool open source Backstab.

AuKill disattiva gli antivirus e installa ransomware

La tecnica utilizzata dai cybercriminali è nota come BYOVD (Bring Your Own Vulnerable Driver). Sfruttando un drive vulnerabile, ma con firma legittima, viene eseguito il malware con privilegi elevati. In questo caso il driver infetto è PROCEXP.SYS di Process Explorer 16.32, copiato nella directory C:\Windows\System32\drivers, accanto a quello legittimo PROCEXP152.SYS.

Per ottenere privilegi elevati, AuKill impersona TrustedInstaller (servizio di installazione dei moduli di Windows) e ottiene i privilegi SYSTEM. Dopo aver stabilito la persistenza, il malware copia il driver PROCEXP.SYS su disco. Questo driver non viene rilevato come infetto, quindi consente di disattivare servizi e processi delle soluzioni di sicurezza.

I prodotti di Sophos possono però rilevare e bloccare AuKill. La software house ha segnalato il problema a Microsoft (il tool Process Explorer viene sviluppato da Winternals, sussidiaria dell’azienda di Redmond). Sophos consiglia agli utenti di installare gli ultimi aggiornamenti di Windows e delle applicazioni, oltre ad un buon antivirus.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.



Fonte Punto Informatico Source link