📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaças conhecido como Silver Fox foi atribuído ao abuso de um motorista vulnerável anteriormente desconhecido associado ao Watchdog Anti-Malware como parte de um ataque de driver de trazer seu próprio driver vulnerável (BYOVD) destinado a desarmar soluções de segurança instaladas em hosts comprometidos.
O driver vulnerável em questão é "amsdk.sys" (versão 1.0.600), um driver de dispositivo do kernel do Windows de 64 bits assinado validamente que é avaliado como baseado no Zemana Anti-Malware SDK.
"Esse driver, construído no Zemana Anti-Malware SDK, foi assinado na Microsoft, não listado na lista de bloqueio de driver vulnerável da Microsoft e não detectado por projetos comunitários como Loldrivers", disse o Check Point em uma análise.
O ataque é caracterizado por uma estratégia de motorista dupla, onde um piloto vulnerável Zemana ("zam.exe") é usado para máquinas Windows 7 e o driver de vigilância não detectado para sistemas que são executados no Windows 10 ou 11.
Verificou-se que o driver anti-malware do Watchdog contém várias vulnerabilidades, o primeiro e mais importante é a capacidade de encerrar processos arbitrários sem verificar se o processo está sendo executado como protegido (PP/PPL). Também é suscetível à escalada de privilégios locais, permitindo que um invasor obtenha acesso irrestrito ao dispositivo do motorista.
O objetivo final da campanha, avistado pela primeira vez pelo ponto de verificação no final de maio de 2025, é alavancar esses motoristas vulneráveis para neutralizar os produtos de proteção de terminais, criando um caminho claro para a implantação e persistência de malware sem desencadear defesas baseadas em assinatura.
Como observado anteriormente, a campanha foi projetada para entregar Valleyrat (também conhecida como Wins 4.0) como a carga útil final, fornecendo recursos de acesso e controle remotos ao ator de ameaças. A empresa de segurança cibernética disse que os ataques empregam um carregador tudo-em-um, encapsulando recursos anti-análises, dois motoristas incorporados, lógica antivírus assassina e o download da Valleyrat DLL em um binário.
"Após a execução, a amostra realiza algumas verificações de anti-análise comuns, como anti-VM (detecção de ambientes virtuais), caixa de areia (detecção de execução dentro de uma caixa de areia), detecção de hipervisores e outros", disse o ponto de verificação. "Se alguma dessas verificações falhar, a execução será abortada e uma mensagem de erro falsa do sistema será exibida."
O downloader foi projetado para se comunicar com um servidor de comando e controle (C2) para buscar o backdoor modular Valleyrat na máquina infectada.
Após a divulgação responsável, o Watchdog lançou um patch (versão 1.1.100) para lidar com o risco de LPE, aplicando uma forte lista de controle de acesso discricionário (DACL), sem preencher o problema de terminação do processo arbitrário. Por sua vez, isso teve o efeito colateral de fazer com que os invasores se adaptem rapidamente e incorporem a versão modificada, alterando apenas um byte único sem invalidar a assinatura da Microsoft.
"Ao lançar um byte único no campo de timestamp não autenticado, eles preservaram a assinatura válida do Microsoft do motorista enquanto gera um novo hash de arquivo, ignorando efetivamente as listas de bloqueios baseadas em hash", observou o ponto de verificação. "Essa técnica sutil, mas eficiente, reflete os padrões vistos em campanhas anteriores".
"Esta campanha demonstra como os atores de ameaças estão indo além das fraquezas conhecidas para armar os motoristas desconhecidos e assinados-um ponto cego para muitos mecanismos de defesa. A exploração de um motorista vulnerável assinado pela Microsoft, anteriormente não classificado, combinado com técnicas evasivas, como a manipulação de assinatura, representa uma ameaça sofisticada e evolvida".
A raposa prateada, também chamada Swimsnake, o Grande Ladrão de Vale (ou Ladrão do Vale), UTG-Q-1000 e Arachne Void, é avaliado como altamente ativo desde o início do ano passado, direcionando principalmente as vítimas de língua chinesa, usando os sites falsos, como as ferramentas mais profundas, como as ferramentas mais profundas, como o Distrato de Remonsek, como o Chinese.
De acordo com o fornecedor chinês de segurança cibernética Antiy, acredita -se que o grupo de hackers exista desde a segunda metade de 2022, visando usuários domésticos e empresas com uma tentativa de roubar segredos e fraudá -los.
"O grupo cibercriminal espalha principalmente arquivos maliciosos por meio de software de mensagens instantâneas (WeChat, Enterprise WeChat, etc.), promoção de SEO de mecanismo de pesquisa, e -mails de phishing etc.", disse a empresa. "O grupo cibercriminal 'Swimsnake' ainda está frequentemente atualizando métodos de malware e evasão AV".
Os ataques empregam versões trojanizadas de software de código aberto, programas maliciosos construídos usando a estrutura QT ou os instaladores do MSI disfarçados de YouDao, Sogou AI, WPS Office e Deepseek para servir ratos Valley, incluindo seu módulo on-line que pode capturar capturas de tela de Wechat e bancos on-line.
O desenvolvimento ocorre quando Qianxin também detalhou uma campanha separada montada pelo "Grupo Finanças" na Silver Fox, que tem como alvo a FINA
O driver vulnerável em questão é "amsdk.sys" (versão 1.0.600), um driver de dispositivo do kernel do Windows de 64 bits assinado validamente que é avaliado como baseado no Zemana Anti-Malware SDK.
"Esse driver, construído no Zemana Anti-Malware SDK, foi assinado na Microsoft, não listado na lista de bloqueio de driver vulnerável da Microsoft e não detectado por projetos comunitários como Loldrivers", disse o Check Point em uma análise.
O ataque é caracterizado por uma estratégia de motorista dupla, onde um piloto vulnerável Zemana ("zam.exe") é usado para máquinas Windows 7 e o driver de vigilância não detectado para sistemas que são executados no Windows 10 ou 11.
Verificou-se que o driver anti-malware do Watchdog contém várias vulnerabilidades, o primeiro e mais importante é a capacidade de encerrar processos arbitrários sem verificar se o processo está sendo executado como protegido (PP/PPL). Também é suscetível à escalada de privilégios locais, permitindo que um invasor obtenha acesso irrestrito ao dispositivo do motorista.
O objetivo final da campanha, avistado pela primeira vez pelo ponto de verificação no final de maio de 2025, é alavancar esses motoristas vulneráveis para neutralizar os produtos de proteção de terminais, criando um caminho claro para a implantação e persistência de malware sem desencadear defesas baseadas em assinatura.
Como observado anteriormente, a campanha foi projetada para entregar Valleyrat (também conhecida como Wins 4.0) como a carga útil final, fornecendo recursos de acesso e controle remotos ao ator de ameaças. A empresa de segurança cibernética disse que os ataques empregam um carregador tudo-em-um, encapsulando recursos anti-análises, dois motoristas incorporados, lógica antivírus assassina e o download da Valleyrat DLL em um binário.
"Após a execução, a amostra realiza algumas verificações de anti-análise comuns, como anti-VM (detecção de ambientes virtuais), caixa de areia (detecção de execução dentro de uma caixa de areia), detecção de hipervisores e outros", disse o ponto de verificação. "Se alguma dessas verificações falhar, a execução será abortada e uma mensagem de erro falsa do sistema será exibida."
O downloader foi projetado para se comunicar com um servidor de comando e controle (C2) para buscar o backdoor modular Valleyrat na máquina infectada.
Após a divulgação responsável, o Watchdog lançou um patch (versão 1.1.100) para lidar com o risco de LPE, aplicando uma forte lista de controle de acesso discricionário (DACL), sem preencher o problema de terminação do processo arbitrário. Por sua vez, isso teve o efeito colateral de fazer com que os invasores se adaptem rapidamente e incorporem a versão modificada, alterando apenas um byte único sem invalidar a assinatura da Microsoft.
"Ao lançar um byte único no campo de timestamp não autenticado, eles preservaram a assinatura válida do Microsoft do motorista enquanto gera um novo hash de arquivo, ignorando efetivamente as listas de bloqueios baseadas em hash", observou o ponto de verificação. "Essa técnica sutil, mas eficiente, reflete os padrões vistos em campanhas anteriores".
"Esta campanha demonstra como os atores de ameaças estão indo além das fraquezas conhecidas para armar os motoristas desconhecidos e assinados-um ponto cego para muitos mecanismos de defesa. A exploração de um motorista vulnerável assinado pela Microsoft, anteriormente não classificado, combinado com técnicas evasivas, como a manipulação de assinatura, representa uma ameaça sofisticada e evolvida".
A raposa prateada, também chamada Swimsnake, o Grande Ladrão de Vale (ou Ladrão do Vale), UTG-Q-1000 e Arachne Void, é avaliado como altamente ativo desde o início do ano passado, direcionando principalmente as vítimas de língua chinesa, usando os sites falsos, como as ferramentas mais profundas, como as ferramentas mais profundas, como o Distrato de Remonsek, como o Chinese.
De acordo com o fornecedor chinês de segurança cibernética Antiy, acredita -se que o grupo de hackers exista desde a segunda metade de 2022, visando usuários domésticos e empresas com uma tentativa de roubar segredos e fraudá -los.
"O grupo cibercriminal espalha principalmente arquivos maliciosos por meio de software de mensagens instantâneas (WeChat, Enterprise WeChat, etc.), promoção de SEO de mecanismo de pesquisa, e -mails de phishing etc.", disse a empresa. "O grupo cibercriminal 'Swimsnake' ainda está frequentemente atualizando métodos de malware e evasão AV".
Os ataques empregam versões trojanizadas de software de código aberto, programas maliciosos construídos usando a estrutura QT ou os instaladores do MSI disfarçados de YouDao, Sogou AI, WPS Office e Deepseek para servir ratos Valley, incluindo seu módulo on-line que pode capturar capturas de tela de Wechat e bancos on-line.
O desenvolvimento ocorre quando Qianxin também detalhou uma campanha separada montada pelo "Grupo Finanças" na Silver Fox, que tem como alvo a FINA
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #silver #fox #explora #o #driver #de #watchdog #com #sinal #da #microsoft #para #implantar #malware #valleyrat
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário