Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Hacker usano un anti-rootkit di Avast per disabilitare le difese dei sistemi
Di recente i ricercatori di Trellix hanno scoperto una nuova campagna malware che usa un driver di un anti-rootkit di Avast per disabilitare le difese dei sistemi e prenderne il controllo. Di fatto gli attaccanti sfruttano i software di sicurezza come un’arma per ottenere il controllo del sistema ed eseguire altre azioni malevole.
La catena di attacco comincia proprio con la diffusione del driver dell’anti-rootkit di Avast. Trishaan Kalra, ricercatore della compagnia, spiega che invece di usare un driver creato appositamente, gli attaccanti usano un driver kernel legittimo; in questo modo, i software di sicurezza non sollevano alert all’utente.
Una volta che il driver è stato installato ed è in esecuzione, il malware ottiene accesso di livello kernel al sistema e procede con l’interruzione dei processi di sicurezza in esecuzione. Il malware è in grado di terminare ben 142 processi legati ad antivirus e soluzioni EDR ampiamente usati accedendo a una lista di nomi hard-coded.
La lista di processi di sicurezza che il malware può interrompere. Credits: Trellix
Dopo l’esecuzione iniziale, il malware comincia ad acquisire screenshot di tutti i processi attivi del sistema. Una volta ottenuto l’intero elenco, il malware confronta i nomi dei processi con quelli presenti nella lista hard-coded; se uno o più nomi corrispondono, il malware crea un handle per ciascun processo e sfrutta il driver Avast per terminarlo.
Per contrastare questa minaccia, Kalra consiglia di definire delle regole nei tool di sicurezza per identificare e bloccare i driver vulnerabili in base alla loro firma o hash. “L’integrazione di questa regola in una soluzione EDR antivirus garantisce che anche i driver legittimi con vulnerabilità vengano bloccati efficacemente, aggiungendo un livello cruciale di protezione contro gli attacchi avanzati basati sui driver” spiega Kalra.
Condividi l'articolo
Ingecom Ignition: "Siamo più forti, ma dobbiamo farci conoscere"
Oltre 400.000 sistemi sono esposti alle vulnerabilità più sfruttate del 2023
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
