Una campaña cibernética recientemente detectada está explotando a los controladores de Windows confiables pero vulnerables para evitar las protecciones de seguridad e instalar una herramienta de acceso remoto. La operación, atribuida por Check Point Research (RCP) al grupo Silver Fox APT, destaca los riesgos de que los atacantes que explotan a los conductores firmados con Microsoft que alguna vez se consideraron seguros. Abusando de los controladores firmados con Microsoft en el centro del ataque está el controlador de antimalware Watchdog (Amsdk.Sys, versión 1.0.600). Aunque firmado por Microsoft y no se enumeró previamente como vulnerable, el controlador fue abusado de terminar los procesos vinculados a las herramientas antivirus y EDR, eliminando el camino para el despliegue de ValleyRat, una puerta trasera modular capaz de vigilancia, ejecución de comandos y exfiltración de datos. Silver Fox también se basó en un conductor más antiguo con sede en Zemana (ZAM.EXE) para mantener la compatibilidad entre sistemas que van desde Windows 7 hasta Windows 11. Ambos controladores permitieron la terminación arbitraria del proceso, lo que permite a los atacantes deshabilitar incluso los procesos protegidos. Lea más sobre las tácticas de explotación del controlador de Windows: la vulnerabilidad en el controlador de Windows conduce a bloqueos del sistema, los investigadores descubrieron que el grupo empacó todos los elementos en binarios de cargadores autónomos. Cada muestra incluía: la campaña evolucionó rápidamente, produciendo variantes que usaban nuevos controladores o versiones alteradas de controladores parcheados para evitar la detección. Evasión y atribución Una técnica implicó modificar un controlador de vigilancia parcheado (Wamsdk.sys, versión 1.1.100) cambiando un solo byte en su campo de marca de tiempo. Debido a que la firma digital de Microsoft no cubre este campo, la firma del controlador se mantuvo válida pero apareció como un nuevo archivo con un hash diferente. La infraestructura utilizada en los ataques se remonta a servidores en China, mientras que las configuraciones de malware específicamente se dirigieron a productos de seguridad populares en el este de Asia. Estos detalles, combinados con la carga útil de Valleyrat, llevaron a la atribución al Silver Fox Apt. Aunque Watchdog publicó una actualización que aborda las fallas de escalada de privilegios locales, la terminación arbitraria del proceso sigue siendo posible, dejando los sistemas vulnerables. La investigación de la RCP enfatizó que la firma y las verificaciones de hash por sí solas son insuficientes. Se recomienda a los equipos de seguridad que apliquen la última lista de bloques de controladores de controladores de Microsoft, usen reglas de detección de Yara e implementen un monitoreo basado en el comportamiento para captar la actividad anormal del conductor. «Nuestra investigación refuerza la necesidad de esfuerzos continuos de proveedores de seguridad y usuarios para mantenerse atentos a los abusos emergentes de los conductores legítimos», escribió CPR. «La identificación proactiva, los informes y los parches de estas vulnerabilidades son fundamentales para fortalecer los sistemas de Windows contra las amenazas en evolución aprovechando las técnicas vulnerables del controlador (BYOVD)».