Este brutal ataque contra Windows es capaz de tumbar tu antivirus ADSLZone

Tabla de contenido

Los hackers siempre van innovando a la hora de poder lanzar ataques de malware. Ya sea para robar dinero o información sensible de sus víctimas. Y es que, aunque tengamos de protección los antivirus en nuestros ordenadores, este ataque contra Windows puede tumbar por completo el sistema de protección del software de Microsoft.

De hecho, en esta ocasión, así ha sido. Básicamente, porque los piratas informáticos han encontrado una forma efectiva de desactivar ciertos antivirus de los ordenadores con Windows, lo que les abre la puerta a implementar todo tipo de malware en esos PC que se han quedado sin protección. Además de esto, os diremos cuáles son las recomendaciones de los expertos en seguridad y de Microsoft.

El malware que desactiva un antivirus

Durante el año pasado, la compañía de ciberseguridad AhnLab Security descubrió hasta dos ataques de este tipo. En estos, comprobaron dos vulnerabilidades en el programa Sunlogin, un software de control remoto que ha sido desarrollado en China. El problema viene cuando se han descubierto dos vulnerabilidades de ejecución remota de código: CNVD-2022-10270 y CNVD-2022-03672. Estas vulnerabilidades, que se han encontrado en este programa de control remoto, están presentes en Sunlogin v11.0.0.33 y anteriores.

De esta manera, se consigue al implementar un script encriptado de PoweShell que se desactive el programa de protección de los dispositivos Windows, en este caso, el antivirus que se tenga habilitado en ese momento en el ordenador. Básicamente, esos scripts de PoweShell logra decodificar un ejecutable portátil .NET, un programa de código abierto Mhyprot2DrvControl modificado que utiliza los controladores vulnerables de Windows para lograr obtener privilegios a nivel del kernel. Básicamente, el desarrollador de Mhyprot2DrvControl usa los privilegios escalados a través de mhyprot2.sys.

windows 10 malware

Además, una vez que los atacantes pueden deshabilitar por completo el antivirus de un ordenador Windows, tienen un nuevo propósito: instalar el malware que quieran. Ya sea para robar datos privados (información bancaria, del usuario…) o para cualquier otro motivo, como podría ser espiar a las víctimas. Incluso, en diferentes ocasiones llegaban a instalar malware como Sliver, Gh0st RAT (troyano de acceso remoto) o hasta un software con el que minar criptomonedas XMRig.

Usa la técnica BYOVD

Este método que se ha empleado se conoce como BYOVD (Bring Your Own Device), una forma de hablar sobre el hecho de usar los dispositivos personales para acceder a los recursos de tu empresa o trabajo. Para evitar justamente esto, Microsoft recomienda que los administradores de Windows habiliten la lista de bloqueo de controladores vulnerables con el objetivo de poder protegerse contra los ataques BYOVD.

Y no solo nos encontramos con esta recomendación de Microsoft, sino que los expertos en seguridad cibernética de AhnLab Security nos dejan claro que, si estamos utilizando este programa en nuestro PC Windows, no solo tenemos que actualizar el software para tener el parche de seguridad que evita que puedan explotar estas dos vulnerabilidades, también es recomendable actualizar el sistema operativo. De esta manera, conseguiremos no caer en la trampa de estos hackers y, sobre todo, no tendremos que hacer frente a este malware en particular.

¡Sé el primero en comentar!

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.