Da Punto-Informatico.it :
Gli esperti di Sophos hanno individuato un tool, denominato AuKill, che sfrutta una vecchia versione del driver di Process Explorer per disattivare le soluzioni di sicurezza e copiare backdoor o ransomware sul computer. In particolare sono stati distribuiti Medusa Locker e LockBit tra gennaio e febbraio 2023. Le sei varianti di AuKill in circolazione condividono alcune parti di codice con il tool open source Backstab.
AuKill disattiva gli antivirus e installa ransomware
La tecnica utilizzata dai cybercriminali è nota come BYOVD (Bring Your Own Vulnerable Driver). Sfruttando un drive vulnerabile, ma con firma legittima, viene eseguito il malware con privilegi elevati. In questo caso il driver infetto è PROCEXP.SYS di Process Explorer 16.32, copiato nella directory C:\Windows\System32\drivers, accanto a quello legittimo PROCEXP152.SYS.
Per ottenere privilegi elevati, AuKill impersona TrustedInstaller (servizio di installazione dei moduli di Windows) e ottiene i privilegi SYSTEM. Dopo aver stabilito la persistenza, il malware copia il driver PROCEXP.SYS su disco. Questo driver non viene rilevato come infetto, quindi consente di disattivare servizi e processi delle soluzioni di sicurezza.
I prodotti di Sophos possono però rilevare e bloccare AuKill. La software house ha segnalato il problema a Microsoft (il tool Process Explorer viene sviluppato da Winternals, sussidiaria dell’azienda di Redmond). Sophos consiglia agli utenti di installare gli ultimi aggiornamenti di Windows e delle applicazioni, oltre ad un buon antivirus.
Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte Punto Informatico Source link