Les hackers innovent toujours en matière de lancement attaques de logiciels malveillants . Soit pour voler de l'argent ou des informations sensibles à leurs victimes. Et c'est que, bien que nous ayons une protection antivirus sur nos ordinateurs, cette attaque contre Windows peut complètement renverser le Microsoft système de protection des logiciels.
En fait, cette fois, ça l'a été. Fondamentalement, parce que les pirates ont trouvé un moyen efficace de désactiver certains antivirus sur les ordinateurs Windows , ce qui leur ouvre la porte au déploiement de toutes sortes de logiciels malveillants sur les PC laissés sans protection. En plus de cela, nous vous dirons quelles sont les recommandations des experts en sécurité et de Microsoft.
Le malware qui désactive un antivirus
Au cours de l'année écoulée, la société de cybersécurité AhnLab Sécurité découvert jusqu'à deux de ces attaques. Dans ceux-ci, ils ont testé deux vulnérabilités dans le Programme Sunlogin , un logiciel de contrôle à distance développé en Chine. Le problème survient lorsque deux vulnérabilités d'exécution de code à distance ont été découvertes : CNVD-2022-10270 et CNVD-2022-03672. Ces vulnérabilités, qui ont été trouvées dans ce programme de contrôle à distance, sont présentes dans Sunlogin v11.0.0.33 et versions antérieures .
De cette façon, il est réalisé en implémentant un script PowerShell crypté qui désactive le programme de protection des appareils Windows, dans ce cas, l'antivirus actuellement activé sur l'ordinateur. Fondamentalement, ces scripts PowerShell parviennent à décoder un exécutable .NET portable, un open source modifié Mhyprot2DrvControl programme qui utilise des pilotes Windows vulnérables pour obtenir des privilèges au niveau du noyau. Fondamentalement, le développeur de Mhyprot2DrvControl utilise les privilèges élevés via mhyprot2.sys.
De plus, une fois que les attaquants sont capables de désactiver complètement l'antivirus sur un ordinateur Windows, ils ont un nouvel objectif : installer les logiciels malveillants de leur choix. Soit pour voler des données privées (informations bancaires, informations utilisateur…) ou pour toute autre raison, comme espionner les victimes. À différentes occasions, ils ont même installé des logiciels malveillants tels que Sliver, Gh0st RAT (cheval de Troie d'accès à distance) ou même des logiciels avec lesquels pour miner les crypto-monnaies XMRig .
Utiliser la technique BYOVD
Cette méthode qui a été utilisée est connue sous le nom de BYOVD (Bring Your Own Device), une façon de parler du fait d'utiliser des appareils personnels pour accéder aux ressources de votre entreprise ou de votre travail. Pour éviter cela, Microsoft recommande aux administrateurs Windows d'activer le Liste de blocage des pilotes vulnérables afin de se protéger contre les attaques BYOVD.
Et non seulement trouvons-nous cela recommandation de Microsoft , mais les experts en cybersécurité d'AhnLab Security nous précisent que si nous utilisons ce programme sur notre PC Windows, nous devons non seulement mettre à jour le logiciel pour disposer du correctif de sécurité qui les empêche d'exploiter ces deux vulnérabilités, il est également recommandé de mettre à jour le système d'exploitation. De cette façon, nous pourrons éviter de tomber dans le piège de ces pirates et, surtout, nous n'aurons pas à faire face à ce malware particulier.
