Esse ataque, informa a Sophos, foi projetado para atingir especificamente processos usados pelos principais pacotes de software de detecção e resposta de endpoints (EDR).
A Sophos publicou ontem um relatório informando ter localizado código malicioso em drivers assinados com legítimos certificados digitais emitidos pela Microsoft. A descoberta começou após uma tentativa de ataque de ransomware na qual os cibercriminosos usavam um driver com certificado do Windows Hardware Compatibility Publisher. Esse ataque, informa a Sophos, foi projetado para atingir especificamente processos usados pelos principais pacotes de software de detecção e resposta de endpoints (EDR); os drivers foram instalado por um malware vinculado a agentes de ameaças afiliados ao ransomware Cuba.
Uma análise mais detalhada dos executáveis utilizados na tentativa de ataque de ransomware descobriu que o driver foi baixado no sistema de destino com uma variante do loader BURNTCIGAR, o malware atribuído ao grupo Cuba. Uma vez no sistema, o driver aguarda ser iniciado por um dos 186 nomes de arquivo usados pelos principais pacotes de software de segurança de endpoint e EDR; em seguida, tenta encerrar esses processos. Se bem sucedidos, os invasores podem implementar o ransomware.
Ao descobrir esse driver, a Sophos imediatamente alertou a Microsoft e as duas empresas trabalharam juntas para resolver o problema. A Microsoft divulgou informações em seu comunicado de segurança com mais dados, como parte do último Patch Tuesday.
“Esses invasores, provavelmente afiliados do grupo de ransomware Cuba, sabem o que estão fazendo – e são persistentes. Encontramos um total de 10 drivers maliciosos, todos variantes da descoberta inicial. Esses drivers mostram um esforço concentrado para subir na cadeia de confiança, já que o mais antigo deles data, ao menos, de julho. Os mais velhos que encontramos até agora foram assinados por certificados de empresas chinesas desconhecidas, e eles seguiram em frente, conseguindo assinar o driver com um certificado NVIDIA válido, vazado e revogado. Agora, eles estão usando um certificado da Microsoft, que é uma das autoridades mais confiáveis do ecossistema Windows. Se você pensar sobre isso como segurança de uma empresa, os invasores basicamente receberam IDs válidos da companhia para entrar no prédio sem questionamentos e fazer o que quiserem”, explica Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.
O relatório está em: https://news.sophos.com/en-us/2022/12/13/signed-driver-malware-moves-up-the-software-trust-chain/