Um grupo de ameaças persistentes avançadas (APT), identificado como Silver Fox, explora vulnerabilidades em drivers legítimos da Microsoft para invadir computadores de órgãos públicos e empresas. Os drivers são softwares que permitem que hardwares, como placas de vídeo, se comuniquem com sistemas operacionais como Windows ou Linux. O objetivo desses ataques é desabilitar soluções de segurança instaladas nos dispositivos comprometidos, abrindo caminho para malwares avançados.
A campanha, detectada pela Check Point Security, explora falhas em um driver confiável chamado amsdk.sys, utilizado pelo kit de desenvolvimento de software (SDK) Zemana Anti-Malware. Por conter assinatura digital da Microsoft, o driver é reconhecido como seguro pelo sistema, permitindo ao grupo instalar o malware ValleyRAT – capaz de espionar atividades, roubar arquivos e senhas sem que o usuário perceba.
Como funciona o ataque?
O driver vulnerável, conhecido como The WatchDog Antimalware driver (amsdk.sys versão 1.0.600), nunca havia sido listado na Microsoft Vulnerable Driver Blocklist, nem monitorado por iniciativas comunitárias como o Living Off The Land Drivers (LOLDrivers). Para garantir compatibilidade entre versões do Windows, os atacantes usam dois drivers: um para sistemas legados e outro não detectado para ambientes modernos. Ambos são incorporados em um único carregador auto suficiente, que inclui camadas anti-análise e o downloader do ValleyRAT.
O malware é modular, ou seja, novos módulos podem ser adicionados remotamente, permitindo que os hackers atualizem suas capacidades sem serem detectados. Além disso, permanece ativo mesmo após reinício do sistema e, por ser assinado pela Microsoft, funciona sem disparar alertas, possibilitando meses ou até anos de atividade maliciosa sem identificação.
Vulnerabilidades exploradas pelo Silver Fox
Pesquisadores da Check Point detalharam múltiplas falhas no WatchDog, que vão desde encerramento arbitrário de processos até elevação de privilégios local e acesso direto ao disco. A mais grave ocorreu devido à ausência de controles adequados de acesso ao namespace do dispositivo, permitindo que usuários sem permissão explorassem o driver uma vez instalado.
Após a divulgação da vulnerabilidade, o fornecedor lançou uma versão corrigida do driver (wamsdk.sys, versão 1.1.100). Mas os atacantes se adaptaram rapidamente. Eles alteraram um único byte no timestamp da assinatura digital do arquivo, o que marca a data e hora que o driver foi criado ou modificado. Essa mudança mínima gerou um novo hash do arquivo, que funciona como uma “impressão digital” única usada pelos sistemas de segurança para identificar arquivos conhecidos.
Apesar dessa alteração, a assinatura digital da Microsoft continuou válida, então o Windows ainda reconhecia o driver como confiável. Na prática, isso permitiu que o driver modificado contornasse mecanismos de bloqueio baseados em hash e continuasse sendo usado para instalar o malware sem disparar alertas.
Como se proteger?
Algumas medidas que podem ajudar a prevenir esse tipo de exploração de vulnerabilidade são:
- Aplicar manualmente a Microsoft Vulnerable Driver Blocklist: embora atualizada automaticamente apenas uma ou duas vezes por ano, a versão mais recente protege contra drivers vulneráveis conhecidos;
- Monitoramento e prevenção: utilizar regras YARA para detectar drivers vulneráveis e monitorar abusos;
- Manter sistemas operacionais e drivers sempre atualizados, mitigando vulnerabilidades conhecidas.
Para saber mais sobre ataques desse tipo, acompanhe o TecMundo no X, Instagram e Youtube, e para receber notícias de tecnologia e cibersegurança, se inscreva em nossa newsletter.