▲
- Grupo Silver Fox usa vulnerabilidades em drivers legítimos da Microsoft para instalar malware no Windows 11.
- Você deve monitorar e atualizar seus sistemas para evitar invasões e roubo de dados confidenciais.
- Esse ataque pode comprometer órgãos públicos, empresas e a segurança digital de usuários comuns.
- O malware permanece ativo mesmo após reinicializações e passa despercebido por ser assinado digitalmente.
Um grupo de ameaças avançadas (APT), chamado Silver Fox, está usando vulnerabilidades em drivers legítimos da Microsoft para invadir computadores. O alvo são órgãos públicos e empresas. Drivers são softwares que permitem que o hardware se comunique com sistemas operacionais, como o Windows. O objetivo é desabilitar a segurança e abrir caminho para malwares mais perigosos.
Como o Silver Fox ataca
A campanha, detectada pela Check Point Security, explora falhas no driver amsdk.sys, que faz parte do SDK do Zemana Anti-Malware. Como este driver possui uma assinatura digital da Microsoft, o sistema o considera seguro. Isso permite que o grupo instale o malware ValleyRAT, capaz de espionar atividades e roubar arquivos e senhas sem que o usuário perceba. É um ataque bem disfarçado e persistente.
O driver vulnerável, conhecido como The WatchDog Antimalware driver (versão 1.0.600 do amsdk.sys), nunca esteve na Microsoft Vulnerable Driver Blocklist. Ele também não foi monitorado por iniciativas comunitárias como o Living Off The Land Drivers (LOLDrivers). Para garantir compatibilidade com diferentes versões do Windows, os atacantes usam dois drivers: um para sistemas legados e outro, não detectado, para ambientes modernos.
Ambos os drivers são incluídos em um único carregador autossuficiente. Este carregador vem com camadas anti-análise para dificultar sua identificação, além do downloader do ValleyRAT. O malware é modular, permitindo que novos módulos sejam adicionados remotamente. Essa funcionalidade ajuda os hackers a atualizar suas capacidades sem serem descobertos. É uma forma de ataque muito adaptável.
Além disso, o ValleyRAT permanece ativo mesmo depois que o computador é reiniciado. E, por ser assinado pela Microsoft, ele opera sem disparar alertas de segurança. Essa característica permite que a atividade maliciosa dure por meses, ou até anos, sem ser identificada. A persistência mostra a complexidade de detectar e combater tais ciberataques.
Vulnerabilidades em drivers exploradas pelo Silver Fox
Pesquisadores da Check Point detalharam múltiplas falhas no WatchDog. As vulnerabilidades incluíam desde o encerramento arbitrário de processos até a elevação de privilégios locais e acesso direto ao disco do computador. A falha mais séria ocorreu pela ausência de controles adequados de acesso ao namespace do dispositivo. Isso permitia que usuários sem permissão explorassem o driver depois de instalado. É uma falha crítica de segurança.
Após a divulgação da vulnerabilidade, o fornecedor lançou uma versão corrigida do driver (wamsdk.sys, versão 1.1.100). No entanto, os atacantes se adaptaram rapidamente. Eles alteraram um único byte no timestamp da assinatura digital do arquivo, que marca a data e hora em que o driver foi criado ou modificado. Essa mudança mínima, mas estratégica, visava enganar os sistemas de detecção.
Essa alteração mínima gerou um novo hash do arquivo, uma espécie de “impressão digital” única usada pelos sistemas de segurança para identificar softwares. Apesar da modificação, a assinatura digital da Microsoft continuou válida. O Windows, assim, ainda reconhecia o driver como confiável. Na prática, isso permitiu que o driver modificado contornasse os mecanismos de bloqueio baseados em hash e continuasse instalando o malware sem disparar alertas. Atenção a vazamentos de dados é sempre necessária.
Dicas de proteção contra drivers vulneráveis
Para se proteger desse tipo de ataque, algumas medidas simples podem ajudar a manter seus sistemas seguros. A proatividade na segurança digital é a chave para mitigar riscos de ataques que exploram vulnerabilidades em drivers, como o do grupo Silver Fox.
- Aplicar manualmente a Microsoft Vulnerable Driver Blocklist: Mesmo com atualizações anuais, aplicar a versão mais recente garante proteção contra drivers vulneráveis já conhecidos.
- Monitoramento e prevenção: Use regras YARA para detectar drivers vulneráveis e acompanhar abusos, identificando atividades suspeitas rapidamente.
- Manter sistemas operacionais e drivers atualizados: Atualizar regularmente o Windows e seus drivers corrige falhas de segurança conhecidas, minimizando os riscos de exploração.
- Cuidado com a origem do software: Sempre verifique a procedência de drivers e programas antes de instalar. Isso ajuda a evitar softwares maliciosos disfarçados.
A atenção constante e a adoção dessas práticas de segurança podem fazer uma grande diferença. Ficar por dentro das novidades e soluções em cibersegurança, incluindo alertas sobre golpes e atualizações de sistema, ajuda a criar uma defesa robusta contra ameaças em evolução. Assim, você protege seus dados e a integridade de seus sistemas.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
