Código HTML do Conteúdo
Post: Silver Fox explora drivers assinados para implantar o backdoor ValleyRAT - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<div>
<div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-e973ac2d-6cbc-4e4f-8ee3-eed333313882">
<p>Uma campanha cibernética recém-detectada está explorando drivers confiáveis, mas vulneráveis, do Windows para contornar as proteções de segurança e instalar uma ferramenta de acesso remoto.</p>
<p>A operação, atribuída pela Check Point Research (CPR) ao <a href="https://www.infosecurity-magazine.com/news/chinese-silver-fox-backdoors/" target="_blank">Grupo APT Silver Fox</a>, destaca os riscos de invasores explorarem drivers assinados pela Microsoft que antes eram considerados seguros.</p>
<h2>Abusando de drivers assinados pela Microsoft</h2>
<p>No centro do ataque está o driver WatchDog Antimalware (amsdk.sys, versão 1.0.600).</p>
<p>Embora assinado pela Microsoft e não listado anteriormente como vulnerável, o driver foi abusado para encerrar processos vinculados a ferramentas antivírus e EDR, abrindo caminho para a implantação de <a href="https://www.infosecurity-magazine.com/news/valleyrat-campaign-hits-windows/" target="_blank">Vale-RATA</a>–um backdoor modular capaz de vigilância, execução de comandos e exfiltração de dados.</p>
<p>A Silver Fox também contou com um driver mais antigo baseado em Zemana (<em>ZAM.exe</em>) para manter a compatibilidade entre sistemas que vão do Windows 7 ao Windows 11.</p>
<p>Ambos os drivers permitiam o encerramento arbitrário do processo, permitindo que os invasores desabilitassem até mesmo processos protegidos.</p>
<p><a href="https://www.infosecurity-magazine.com/news/vulnerability-windows-driver/" target="_blank"><em>Leia mais sobre táticas de exploração de driver do Windows: Vulnerabilidade no driver do Windows leva a falhas no sistema</em></a></p>
<p>Os pesquisadores descobriram que o grupo empacotou todos os elementos em binários de carregadores independentes.</p>
<p>Cada amostra incluiu:</p>
<ul>
<li>
<p>Recursos anti-análise</p>
</li>
<li>
<p>Mecanismos de persistência</p>
</li>
<li>
<p>Dois drivers incorporados</p>
</li>
<li>
<p>Uma lista codificada de processos de segurança a serem encerrados</p>
</li>
<li>
<p>Um downloader do ValleyRAT</p>
</li>
</ul>
<p>A campanha evoluiu rapidamente, produzindo variantes que usavam novos drivers ou versões alteradas de drivers corrigidos para evitar a detecção.</p>
<h2>Evasão e Atribuição</h2>
<p>Uma técnica envolvia modificar um driver WatchDog corrigido (wamsdk.sys, versão 1.1.100) alterando um único byte em seu campo de carimbo de data/hora. Como a assinatura digital da Microsoft não cobre esse campo, a assinatura do driver permaneceu válida ainda apareceu como um novo arquivo com um hash diferente.</p>
<p>A infraestrutura usada nos ataques foi rastreada até servidores na China, enquanto as configurações de malware visavam especificamente produtos de segurança populares no leste da Ásia. Esses detalhes, combinados com a carga útil do ValleyRAT, levaram à atribuição ao Silver Fox APT.</p>
<p>Embora o WatchDog tenha lançado uma atualização abordando falhas de escalonamento de privilégios locais, o encerramento arbitrário do processo continua sendo possíveldeixando os sistemas vulneráveis.</p>
<p>O <a href="https://research.checkpoint.com/2025/silver-fox-apt-vulnerable-drivers/" target="_blank">Pesquisa de RCP</a> enfatizou que as verificações de assinatura e hash por si só são insuficientes. As equipes de segurança são aconselhadas a aplicar a lista de bloqueio de driver mais recente da Microsoft, usar regras de detecção YARA e implementar monitoramento baseado em comportamento para detectar atividades anormais do driver.</p>
<p>“Nossa pesquisa reforça a necessidade de esforços contínuos de fornecedores e usuários de segurança para se manterem vigilantes contra o abuso emergente de motoristas legítimos”, escreveu a CPR.</p>
<p>“A identificação, a geração de relatórios e a correção proativa dessas vulnerabilidades são essenciais para fortalecer os sistemas Windows contra ameaças em evolução, aproveitando as técnicas de Bring Your Own Vulnerable Driver (BYOVD).”</p>
</div>
</div>
</div></div>