2022/12/09

Antivirus enganados para apagar o sistema

Um investigador descobriu uma técnica engenhosa que faz os antivirus trabalharem a favor de um atacante, podendo eliminar todo o sistema.

Criar um "wiper" - um malware que elimina ficheiros do computador da vítima - é uma tarefa bastante complexa, que obriga a ultrapassar toda uma série de medidas de protecção que os sistemas e programas anti-vírus implementam. Mas este investigador teve uma ideia original, de tentar fazer com que fossem os próprios programas anti-virus a fazer o trabalho, uma vez que já têm as permissões para "fazer estragos".

A ideia é a seguinte: criar propositadamente um ficheiro que seja facilmente detectado como sendo malicioso e que vá ser eliminado por um programa anti-virus; mas antes disso ser feito, criar uma junção que aponta a sua localização para outra pasta do sistema. Desta forma, quando o antivirus vai eliminar o programa que era malicioso, acaba por eliminar ficheiros legítimos.
A técnica é tão eficiente que permitia redireccionar o processo de eliminação do antivirus para a pasta principal do disco, levando à sua eliminação total.

Entre os produtos vulneráveis a este tipo de ataque estavam o Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, e AVG Antivirus. Entretanto, já todos eles receberam actualizações (Microsoft Malware Protection Engine: 1.1.19700.2 ou mais recente; TrendMicro Apex One: Hotfix 23573 & Patch_b11136 ou mais recente; Avast & AVG Antivirus: 22.10 ou mais recente).

Sem comentários:

Enviar um comentário (problemas a comentar?)