Les pirates utilisent un outil entièrement nouveau pour désactiver les programmes antivirus installés sur les appareils, avant de déployer des logiciels malveillants plus douteux et parfois même des rançongiciels, ont averti les chercheurs.
Les chercheurs en cybersécurité de Sophos X-Ops ont récemment observé des acteurs de la menace utilisant la méthode BYOVD (Bring Your Own Vulnerable Driver) pour déployer un outil appelé AuKill qui peut désactiver les programmes de sécurité.
Tout d'abord, ils doivent placer un contrôleur légitime mais vulnérable sur le point de terminaison cible. Cela se fait généralement via des attaques par e-mail, distribuant le pilote via des e-mails de phishing. Le pilote, capable de s'exécuter avec les privilèges du noyau, s'appelle procexp.sys et est généralement inclus avec le pilote réel, utilisé par Process Explorer v16.32 de Microsoft (un programme légitime qui collecte des données sur les processus Windows actifs).
Apportez votre propre conducteur vulnérable
Une fois que le programme légitime exécute la DLL malveillante, il vérifie d'abord s'il s'exécute avec les privilèges SYSTEM et s'assure qu'il s'exécute en se faisant passer pour le programme d'installation du module Windows TrustedInstaller. Il démarre ensuite divers threads, essayant et désactivant divers processus et services de sécurité.
Après avoir désactivé les programmes de sécurité sur l'ordinateur, les opérateurs AuKill déploieront des logiciels malveillants de deuxième étape. Selon le rapport Sophos X-Ops, les acteurs de la menace déploient parfois Medusa Locker ou LockBit, deux variantes de ransomware extrêmement puissantes et populaires.
"L'outil a été utilisé dans au moins trois incidents de ransomwares depuis le début de 2023 pour saboter la protection des cibles et déployer des ransomwares", ont averti les chercheurs. "En janvier et février, des attaquants ont déployé le rançongiciel Medusa Locker après avoir utilisé l'outil ; en février, un attaquant a utilisé AuKill juste avant de déployer le rançongiciel Lockbit."
Alors que l'outil semble relativement nouveau et vient tout juste d'être découvert, l'une de ses variantes porte un horodatage de novembre 2022. La dernière version découverte a été compilée à la mi-février, concluent les chercheurs. Son code est similaire à celui de Backstab, un outil open source également capable de désactiver les programmes antivirus. Les chercheurs ont vu des opérateurs LockBit implémenter Backstab dans le passé.
"Nous avons trouvé de multiples similitudes entre l'outil open source Backstab et AuKill", déclare l'équipe Sophos. "Certaines de ces similitudes incluent des chaînes et des fonctionnalités de débogage similaires et une logique de flux de code presque identique pour interagir avec le contrôleur."
Via : BleepingComputer (Ouvre dans un nouvel onglet)