Les pirates utilisent un tout nouvel outil pour désactiver les programmes antivirus installés sur les appareils, avant de déployer des logiciels malveillants plus douteux, et parfois même des rançongiciels, ont averti les chercheurs.
Des chercheurs en cybersécurité de Sophos X-Ops ont récemment observé des acteurs de la menace utilisant la méthode BYOVD (Bring Your Own Vulnerable Driver) pour déployer un outil appelé AuKill, capable de désactiver les programmes de sécurité.
Tout d’abord, ils doivent déposer un pilote légitime mais vulnérable sur le point de terminaison cible. Cela se fait généralement par le biais d’attaques par e-mail, distribuant le pilote via des e-mails de phishing. Le pilote, capable de s’exécuter avec les privilèges du noyau, s’appelle procexp.sys et est généralement livré à côté du pilote réel, utilisé par Process Explorer v16.32 de Microsoft (un programme légitime qui collecte des données sur les processus Windows actifs).
Apportez votre propre conducteur vulnérable
Une fois que le programme légitime exécute la DLL malveillante, il vérifie d’abord s’il s’exécute avec les privilèges SYSTEM, et s’assure qu’il le fait, en se faisant passer pour le programme d’installation des modules Windows de TrustedInstaller. Ensuite, il démarre plusieurs threads, testant et désactivant divers processus et services de sécurité.
Après avoir désactivé les programmes de sécurité sur l’ordinateur, les opérateurs d’AuKill déploieront des logiciels malveillants de deuxième étape. Selon le rapport de Sophos X-Ops, les acteurs de la menace déploient parfois le Medusa Locker, ou LockBit – deux variantes de ransomware extrêmement puissantes et populaires.
« L’outil a été utilisé lors d’au moins trois incidents de ransomware depuis le début de 2023 pour saboter la protection de la cible et déployer le ransomware », ont averti les chercheurs. « En janvier et février, les attaquants ont déployé le rançongiciel Medusa Locker après avoir utilisé l’outil ; en février, un attaquant a utilisé AuKill juste avant de déployer le rançongiciel Lockbit. »
Alors que l’outil semble relativement nouveau et vient d’être repéré, l’une de ses variantes porte un horodatage de novembre 2022. La dernière version découverte a été compilée à la mi-février, concluent les chercheurs. Son code est similaire à celui de Backstab, un outil open source également capable de désactiver les programmes antivirus. Les chercheurs ont vu les opérateurs de LockBit déployer Backstab dans le passé.
« Nous avons trouvé de multiples similitudes entre l’outil open source Backstab et AuKill », déclare l’équipe Sophos. « Certaines de ces similitudes incluent des chaînes de débogage similaires et caractéristiques et une logique de flux de code presque identique pour interagir avec le pilote. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)