Kill-Floor.exe: Il malware che sfrutta driver legittimi per controllare il sistema

Una campagna malevola sta impiegando un driver legittimo anti-rootkit di Avast per compiere attività dannose sui sistemi infetti.

Questo malware – denominato come “Kill-floor.exe” – sfrutta i privilegi di accesso a livello kernel forniti dal driver con l’obiettivo di interrompere i processi di sicurezza, disattivare i programmi di protezione e ottenere il controllo completo del sistema.

 

Kill – Floor.exe: i pericoli del malware

Secondo gli esperti del Trellix Advanced Research Center, il malware adotta un approccio innovativo e pericoloso: esso rilascia un driver legittimo di Avast Anti-Rootkit, noto come aswArPot.sys, e lo manipola per portare avanti azioni distruttive.

In particolare, questo malware è in grado di:

  • Disattivare i software di sicurezza: il malware utilizza l’accesso a livello kernel fornito dal driver di Avast per terminare i processi di sicurezza attivi sul sistema, come quelli di antivirus, EDR – Endpoint Detection and Response – e altre soluzioni di protezione;
  • Disabilitare le difese del sistema: grazie al controllo del driver Avast, il malware ha la possibilità di disabilitare il software di protezione, rendendo il sistema vulnerabile e privo di barriere contro ulteriori attacchi.
  • Prendere il controllo del sistema: attraverso i privilegi kernel, il malware ottiene un controllo profondo sul sistema operativo, permettendogli di eseguire azioni senza nessun tipo di rilevazione. Questo include la possibilità di modificare file, alterare processi e di influenzare componenti critici del sistema;
  • Nascondere le sue attività: il malware sfrutta una funzione legittima del driver Avast insieme a operazioni standard del kernel di Windows – come KeStackAttachProcess e ZwTerminateProcess – per far apparire le sue attività come normali processi di sistema, complicando il rilevamento da parte dei software antivirus.

 

Questo malware è pericoloso in quanto è in grado di operare in maniera indisturbata. Grazie ai privilegi avanzati del driver, il malware riesce ad aggirare le protezioni e a mascherare le sue azioni come normali operazioni di sistema, rendendo l’attacco molto difficile da rilevare e contrastare.

Malware: come tutelarsi quotidianamente

I malware rappresentano una minaccia informatica estremamente pericolosa, capace di compromettere i dispositivi, rubare dati personali e causare gravi danni economici e operativi.

Ogni giorno si è potenzialmente esposti a questi software dannosi. Adottare abitudini di sicurezza quotidiane può ridurre significativamente il rischio di infezione.

Alcune pratiche utili da adottare sono:

  • Mantenere i software aggiornati: è importante effettuare aggiornamenti, in maniera costante, di sistema operativi, software e driver per correggere vulnerabilità note;
  • Utilizzare soluzioni di sicurezza affidabili: è fondamentale installare e mantenere aggiornati software di sicurezza per rilevare e bloccare minacce in tempo reale;
  • Navigazione sicura: bisogna evitare siti non sicuri o privi di certificati SSL. Inoltre, è fondamentale non aprire allegati sospetti, verificando che provengano da fonti sicure;
  • Formazione del personale: è importante formare e sensibilizzare gli utenti per riconoscere segnali di attacchi e seguire pratiche di sicurezza (ad esempio, evitare di scaricare software da fonti non verificate);
  • Audit periodici: è opportuno eseguire controlli regolari sui sistemi per individuare attività sospette;
  • Backup regolari: infine, è essenziale effettuare backup periodici dei dati critici e proteggerli da accessi non autorizzati.

 

Condividi