Hackers exploram mais de 2.500 variantes do Driver Truesight.sys para burlar EDR e implantar o HiddenGh0st RAT

Uma campanha massiva de malware foi descoberta explorando uma vulnerabilidade em um driver do Windows associado à suíte de produtos da Adlice para evitar detecção e entregar o malware Gh0st RAT.

"Para dificultar ainda mais a detecção, os hackers deliberadamente geraram múltiplas variantes (com diferentes hashes) do driver 2.0.2, modificando partes específicas do PE enquanto mantinham a assinatura digital válida", afirmou a Check Point em um novo relatório publicado na segunda-feira.

A empresa de cibersegurança explicou que a atividade maliciosa envolveu milhares de amostras iniciais usadas para implantar um programa capaz de desativar softwares de detecção e resposta de endpoints (EDR) por meio de um ataque conhecido como "Bring Your Own Vulnerable Driver" (BYOVD).

Foram identificadas pelo menos 2.500 variantes distintas da versão 2.0.2 do driver vulnerável RogueKiller Antirootkit, Truesight.sys, na plataforma VirusTotal. No entanto, acredita-se que o número real seja ainda maior. O módulo de eliminação de EDR foi detectado pela primeira vez em junho de 2024.

O problema no driver Truesight, uma falha de término arbitrário de processos que afeta todas as versões abaixo da 3.4.0, já havia sido explorado anteriormente para criar exploits de prova de conceito (PoC), como Darkside e TrueSightKiller, disponíveis publicamente desde novembro de 2023.

Em março de 2024, a SonicWall revelou detalhes sobre um carregador chamado DBatLoader, que utilizou o driver Truesight.sys para desativar soluções de segurança antes de entregar o malware Remcos RAT.

Há indícios de que a campanha possa estar associada ao grupo hacker Silver Fox APT, devido a semelhanças na cadeia de execução e nas técnicas empregadas, incluindo vetor de infecção, cadeia de execução e padrões históricos de ataque.

A sequência do ataque envolve a distribuição de artefatos iniciais disfarçados de aplicativos legítimos, propagados por meio de sites fraudulentos que oferecem promoções de produtos de luxo e canais enganosos em aplicativos populares de mensagens, como o Telegram.

Esses artefatos funcionam como um downloader, implantando a versão vulnerável do driver Truesight, bem como a carga útil da segunda fase, que imita arquivos comuns, como PNG, JPG e GIF. O malware da segunda fase então recupera outro malware, que por sua vez carrega o módulo eliminador de EDR e o Gh0st RAT.

"Embora as variantes do driver Truesight (versão 2.0.2) sejam normalmente baixadas e instaladas pelas amostras iniciais, elas também podem ser implantadas diretamente pelo módulo eliminador de EDR/AV se o driver ainda não estiver presente no sistema", explicou a Check Point.

"Isso indica que, embora o módulo eliminador de EDR/AV esteja totalmente integrado à campanha, ele pode operar independentemente das fases iniciais."

O módulo emprega a técnica BYOVD para explorar o driver vulnerável e desativar processos relacionados a determinados softwares de segurança. Com isso, os hackers conseguem burlar a Microsoft Vulnerable Driver Blocklist, um mecanismo baseado em valores hash do Windows projetado para proteger o sistema contra drivers vulneráveis conhecidos.

Os ataques culminaram com a implantação de uma variante do Gh0st RAT chamada HiddenGh0st, projetada para controlar remotamente sistemas comprometidos, permitindo roubo de dados, espionagem e manipulação do sistema pelos invasores.

A partir de 17 de dezembro de 2024, a Microsoft atualizou sua lista de drivers bloqueados para incluir o driver em questão, bloqueando efetivamente essa via de exploração.

"Ao modificar partes específicas do driver enquanto preservavam sua assinatura digital, os hackers conseguiram contornar métodos comuns de detecção, incluindo a última Microsoft Vulnerable Driver Blocklist e os mecanismos de detecção do LOLDrivers, permitindo que operassem sem serem detectados por meses", disse a Check Point.

"Explorar a vulnerabilidade de término arbitrário de processos permitiu ao módulo eliminador de EDR/AV direcionar e desativar processos associados a soluções de segurança, aumentando ainda mais a furtividade da campanha."

Via - THN