AuKill usa Process Explorer per distribuire ransomware

AuKill usa Process Explorer per distribuire ransomware

AuKill sfrutta un vecchio driver vulnerabile del tool Process Explorer per disattivare gli antivirus e distribuire backdoor o ransomware.
AuKill usa Process Explorer per distribuire ransomware
AuKill sfrutta un vecchio driver vulnerabile del tool Process Explorer per disattivare gli antivirus e distribuire backdoor o ransomware.

Gli esperti di Sophos hanno individuato un tool, denominato AuKill, che sfrutta una vecchia versione del driver di Process Explorer per disattivare le soluzioni di sicurezza e copiare backdoor o ransomware sul computer. In particolare sono stati distribuiti Medusa Locker e LockBit tra gennaio e febbraio 2023. Le sei varianti di AuKill in circolazione condividono alcune parti di codice con il tool open source Backstab.

AuKill disattiva gli antivirus e installa ransomware

La tecnica utilizzata dai cybercriminali è nota come BYOVD (Bring Your Own Vulnerable Driver). Sfruttando un drive vulnerabile, ma con firma legittima, viene eseguito il malware con privilegi elevati. In questo caso il driver infetto è PROCEXP.SYS di Process Explorer 16.32, copiato nella directory C:\Windows\System32\drivers, accanto a quello legittimo PROCEXP152.SYS.

Per ottenere privilegi elevati, AuKill impersona TrustedInstaller (servizio di installazione dei moduli di Windows) e ottiene i privilegi SYSTEM. Dopo aver stabilito la persistenza, il malware copia il driver PROCEXP.SYS su disco. Questo driver non viene rilevato come infetto, quindi consente di disattivare servizi e processi delle soluzioni di sicurezza.

I prodotti di Sophos possono però rilevare e bloccare AuKill. La software house ha segnalato il problema a Microsoft (il tool Process Explorer viene sviluppato da Winternals, sussidiaria dell’azienda di Redmond). Sophos consiglia agli utenti di installare gli ultimi aggiornamenti di Windows e delle applicazioni, oltre ad un buon antivirus.

Fonte: Sophos
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 apr 2023
Link copiato negli appunti