Un actor de amenaza conocido como Silver Fox se atribuye al abuso de los impulsores vulnerables previamente desconocidos asociados con el vigilante antimalware de vigilancia como parte de sus propios ataques vulnerables (BYOVD) destinados a desarmar soluciones de seguridad instaladas en hosts comprometidos.
El controlador vulnerable en cuestión es «amsdk.sys» (versión 1.0.600), un controlador de dispositivo de kernel Windows válido de 64 bits con calificación calificada como construida en el SDK anti-malware Zemana.
«El controlador basado en el SDK anti-malware Zemana está firmado por Microsoft, no figura en la lista de bloques de controladores vulnerables de Microsoft, y no se detectó en proyectos comunitarios como Loldrivers», dijo Check Point en el análisis.
Este ataque se caracteriza por una estrategia de doble conductor en la que un controlador de Zemana vulnerable conocido («Zam.exe») se usa en las máquinas de Windows 7 y un controlador de vigilancia no detectado para sistemas que se ejecutan en Windows 10 u 11.
Se sabe que los controladores de anti-malware Watchdog contienen múltiples vulnerabilidades. Primero, es la capacidad de terminar cualquier proceso sin verificar si el proceso está protegido (PP/PPL). También es susceptible a las escaladas de privilegios locales, lo que permite a los atacantes obtener acceso ilimitado a los dispositivos del conductor.
El objetivo final de la campaña, descubierto por primera vez en el punto de control a fines de mayo de 2025, es aprovechar a estos conductores vulnerables para neutralizar los productos de protección del punto final y crear una ruta clara hacia el despliegue y la persistencia de malware sin causar defensas basadas en la firma.
Como se observó anteriormente, la campaña está diseñada para proporcionar Valleyrat (también conocido como Winos 4.0) como la carga útil final, proporcionando capacidades de acceso y control remoto para los actores de amenazas. La compañía de seguridad cibernética dijo que el ataque emplea capacidades anti-analíticas, dos conductores integrados, lógica antivirus asesina y descarga de valleyrat dll en un binario.
«Cuando se ejecuta, la muestra realiza varias verificaciones antianalíticas comunes, incluida la anti-VM (detección de entornos virtuales), anti-sandbox (detección de ejecuciones dentro de las cajas de arena) y la detección de hipervisor», dice Checkpoint. «Si alguna de estas verificaciones falla, la ejecución se abortará y se mostrará un mensaje de error del sistema falso».
El descargador está diseñado para comunicarse con un servidor de comando y control (C2) para recuperar las puertas traseras de rata de valle modular a máquinas infectadas.
Después de la divulgación responsable, WatchDog ha lanzado un parche (versión 1.1.100) para abordar los riesgos de LPE mediante la implementación de una fuerte lista de control de acceso discrecional (DACL) sin conectar ningún problema de terminación de procesos. Esto tuvo el efecto secundario de cambiar un solo byte sin deshabilitar la firma de Microsoft, lo que permitió al atacante adaptarse rápidamente, adaptar e incorporar rápidamente la versión modificada.
«Al voltear un solo byte en un campo de marca de tiempo no certificado, guarda las firmas válidas de Microsoft del conductor y omite efectivamente las listas de bloques basadas en el hash mientras se genera un nuevo hash de archivo», dijo Check Point. «Esta técnica de evasión sutil y eficiente refleja los patrones vistos en campañas anteriores».
«Esta campaña muestra cómo los actores de amenaza trabajan para armarse a los conductores desconocidos más allá de las debilidades conocidas. Este es un punto ciego para muchos mecanismos de defensa. Microsoft firmado, previamente no clasificado, de explotación de impulsores vulnerables y técnicas evasivas, como la manipulación de la firma, representan amenazas sofisticadas y evolucionadas».
Silver Fox, también conocido como Swimsnake, el gran ladrón de Valley (o Thief de Valley), UTG-Q-1000 y Void Arachne, ha sido calificado muy activo desde principios del año pasado, apuntando a víctimas de habla china que usan sitios web falsos para suministrar Troijek para suministrar herramientas para el acceso remoto, principalmente utilizando Google Chrome, Telegram e Inteligencia Artificial (AI).
Según el proveedor chino de ciberseguridad, Antiy, se cree que el grupo de piratería existió desde finales de 2022, y se ha dirigido a usuarios nacionales y empresas en intentos de robar secretos y fraude.
«Los grupos de delitos cibernéticos difundieron archivos maliciosos principalmente a través del software de mensajería instantánea (como WeChat, Enterprise WeChat), promociones de SEO de motores de búsqueda, correos electrónicos de phishing y más», dijo la compañía. «El grupo de cibercrimen ‘Swimsuit’ está actualizando con frecuencia sus métodos de malware y evitación».
Los ataques sirven ratas de valet que incluyen módulos en línea que pueden capturar capturas de pantalla de bancos WeChat y en línea utilizando software de código abierto troyanizado, programas maliciosos construidos con marcos QT o instaladores MSI disfrazados de Yodao, Sogou AI, WPS Office y Deepseek.
El desarrollo tiene como objetivo detallar otra campaña que Qianxin ha sido montado por un «grupo financiero» dentro de Silver Fox, dirigido a personas financieras y gerentes de empresas e instituciones para saquear y beneficiarse directamente de información financiera confidencial a través de fraude.
Estos ataques aprovechan las auditorías fiscales, las inversiones electrónicas, los anuncios de subvenciones y las damas pesqueras relacionadas con los recursos humanos para engañar a los usuarios, ejecutar troyanos de acceso remoto y confiar en servicios legítimos en la nube como Alibaba Cloud Oss y Notes de Yodao Cloud para organizar cargas de pago maliciosas para intentar detección.
El grupo de finanzas es uno de los cuatro subclusters de Silver Fox, siendo los otros tres el grupo de noticias y romance, grupo de diseño y fabricación, y Black Water Ring Hall.
Curiosamente, después de que el grupo financiero gana el control de la computadora de la víctima a través de métodos como ataques de agujeros y phishing, se hacen cargo de las cuentas de redes sociales de la víctima y las usan para enviar códigos Phishing QR a varios chats de WeChat Group con el objetivo de recolectar números de cuentas bancarias y contraseñas de los miembros del grupo, finalmente drenando fondos desde la cuenta bancaria en busca de ganancias.
«El UTG-Q-1000 es uno de los grupos de delitos cibernéticos más activos y ofensivos de China en los últimos años. Sus negocios son altamente organizados, tecnológicamente refinados y motivados económicamente», dice Qianxin. «Han establecido una cadena completa de ganancias del mercado negro que incluye espionaje (robo de datos), control remoto con malware, fraude financiero y phishing».
Source link
