Nueva campaña de malware utiliza controlador de Windows vulnerable

Una campaña de malware a gran escala ha sido descubierta utilizando un controlador de Windows vulnerable vinculado a la suite de productos de Adlice para evadir detección y distribuir el troyano de acceso remoto Gh0st RAT.

Cómo los ciberdelincuentes explotan un controlador vulnerable para evitar la detección

Según un informe de Check Point, los atacantes han modificado deliberadamente múltiples versiones del controlador Truesight.sys (versión 2.0.2) para mantener una firma válida mientras cambian partes específicas del PE (Portable Executable). Este método les permite evadir herramientas de seguridad como EDR (Endpoint Detection and Response) mediante una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver).

Impacto de la vulnerabilidad y número de muestras detectadas

• Se han identificado hasta 2.500 variantes del controlador Truesight.sys en VirusTotal, aunque la cifra real podría ser mayor.
• El módulo EDR-killer, utilizado para desactivar soluciones de seguridad, fue detectado por primera vez en junio de 2024.
• La vulnerabilidad afecta a todas las versiones anteriores a la 3.4.0 del controlador y ha sido explotada en ataques anteriores, como los desarrollados con Darkside y TrueSightKiller.

Relación con Silver Fox APT y distribución del malware

Investigaciones sugieren que la campaña podría estar vinculada al grupo Silver Fox APT, basándose en patrones de ataque, vectores de infección y similitudes con muestras previas.

• 75% de las víctimas están en China, mientras que el resto se encuentra en Singapur y Taiwán.
• El malware se propaga mediante sitios web falsos con ofertas en productos de lujo y canales fraudulentos en Telegram.
• Las cargas maliciosas se disfrazan de archivos PNG, JPG y GIF para evadir detección.

Objetivo final: Gh0st RAT y desactivación de medidas de seguridad

Una vez en el sistema, la segunda etapa del ataque descarga HiddenGh0st, una variante avanzada de Gh0st RAT, diseñada para:

• Tomar control remoto del sistema.
• Robar datos sensibles.
• Realizar vigilancia y manipulación del sistema.

El ataque utiliza BYOVD para deshabilitar procesos de seguridad y evitar la lista de bloqueo de controladores vulnerables de Microsoft, lo que le otorga una ventaja significativa en términos de persistencia.

Respuesta de Microsoft y medidas de seguridad

El 17 de diciembre de 2024, Microsoft actualizó su lista de controladores bloqueados, impidiendo la explotación del Truesight.sys. Sin embargo, los atacantes lograron evadir las protecciones de Microsoft y LOLDrivers durante meses al modificar el controlador mientras mantenían su firma digital.

En fin, esta campaña de malware demuestra cómo los ciberdelincuentes siguen evolucionando sus tácticas para evadir soluciones de seguridad y distribuir RATs avanzados como Gh0st RAT. Empresas y usuarios deben implementar actualizaciones de seguridad, fortalecer sus estrategias de detección de malware y monitorear posibles intentos de explotación de controladores vulnerables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta