Una campagna malevola sta impiegando un driver legittimo anti-rootkit di Avast per compiere attività dannose sui sistemi infetti.
Questo malware – denominato come “Kill-floor.exe” – sfrutta i privilegi di accesso a livello kernel forniti dal driver con l’obiettivo di interrompere i processi di sicurezza, disattivare i programmi di protezione e ottenere il controllo completo del sistema.
Kill – Floor.exe: i pericoli del malware
Secondo gli esperti del Trellix Advanced Research Center, il malware adotta un approccio innovativo e pericoloso: esso rilascia un driver legittimo di Avast Anti-Rootkit, noto come aswArPot.sys, e lo manipola per portare avanti azioni distruttive.
In particolare, questo malware è in grado di:
- Disattivare i software di sicurezza: il malware utilizza l’accesso a livello kernel fornito dal driver di Avast per terminare i processi di sicurezza attivi sul sistema, come quelli di antivirus, EDR – Endpoint Detection and Response – e altre soluzioni di protezione;
- Disabilitare le difese del sistema: grazie al controllo del driver Avast, il malware ha la possibilità di disabilitare il software di protezione, rendendo il sistema vulnerabile e privo di barriere contro ulteriori attacchi.
- Prendere il controllo del sistema: attraverso i privilegi kernel, il malware ottiene un controllo profondo sul sistema operativo, permettendogli di eseguire azioni senza nessun tipo di rilevazione. Questo include la possibilità di modificare file, alterare processi e di influenzare componenti critici del sistema;
- Nascondere le sue attività: il malware sfrutta una funzione legittima del driver Avast insieme a operazioni standard del kernel di Windows – come KeStackAttachProcess e ZwTerminateProcess – per far apparire le sue attività come normali processi di sistema, complicando il rilevamento da parte dei software antivirus.
Questo malware è pericoloso in quanto è in grado di operare in maniera indisturbata. Grazie ai privilegi avanzati del driver, il malware riesce ad aggirare le protezioni e a mascherare le sue azioni come normali operazioni di sistema, rendendo l’attacco molto difficile da rilevare e contrastare.
Malware: come tutelarsi quotidianamente
I malware rappresentano una minaccia informatica estremamente pericolosa, capace di compromettere i dispositivi, rubare dati personali e causare gravi danni economici e operativi.
Ogni giorno si è potenzialmente esposti a questi software dannosi. Adottare abitudini di sicurezza quotidiane può ridurre significativamente il rischio di infezione.
Alcune pratiche utili da adottare sono:
- Mantenere i software aggiornati: è importante effettuare aggiornamenti, in maniera costante, di sistema operativi, software e driver per correggere vulnerabilità note;
- Utilizzare soluzioni di sicurezza affidabili: è fondamentale installare e mantenere aggiornati software di sicurezza per rilevare e bloccare minacce in tempo reale;
- Navigazione sicura: bisogna evitare siti non sicuri o privi di certificati SSL. Inoltre, è fondamentale non aprire allegati sospetti, verificando che provengano da fonti sicure;
- Formazione del personale: è importante formare e sensibilizzare gli utenti per riconoscere segnali di attacchi e seguire pratiche di sicurezza (ad esempio, evitare di scaricare software da fonti non verificate);
- Audit periodici: è opportuno eseguire controlli regolari sui sistemi per individuare attività sospette;
- Backup regolari: infine, è essenziale effettuare backup periodici dei dati critici e proteggerli da accessi non autorizzati.