.png)
há 4 dias
3
ANUNCIE AQUI
Pesquisadores demonstraram uma técnica que permite injetar código malicioso em processos de antivírus protegidos, criando backdoors dentro das próprias instalações do produto de segurança. A abordagem explora serviços auxiliares e provedores criptográficos usados pelos antivírus para carregar um DLL malicioso durante a inicialização do serviço, obtendo privilégios elevados e evitando a detecção baseada em disco.
Leia também
CISO ganha espaço em boards de seguros e asset management
Cibercriminosos ameaçam clientes da Oracle por email
A técnica começa clonando um serviço protegido do antivírus ao exportar e importar suas chaves de registro, criando um serviço duplicado que é carregado no boot. Em seguida o atacante altera o provedor de criptografia do Windows apontando para uma DLL controlada por ele, que será carregada pelo processo protegido ao iniciar. Para contornar verificações de assinatura, o método usa certificados clonados que tornam o carregamento mais confiável perante checagens superficiais.
O autor publicou uma ferramenta chamada IAmAntimalware para automatizar o processo, integrando clonagem de serviços, modificação de provedores criptográficos, importação de certificados e ativação do clone. Em testes, a técnica funcionou contra fornecedores conhecidos, permitindo que um DLL assinado escrevesse arquivos dentro da pasta de instalação do antivírus e executasse rotinas em contexto protegido, demonstrando risco real de persistência e evasão.
Mitigações recomendadas incluem monitorar cargas de módulos vindas de caminhos não usuais, auditar certificados confiáveis no registro, aplicar restrições estritas a alterações de provedores criptográficos e reforçar o uso de Protected Process Light com validações de integridade mais rígidas. Equipes de resposta devem também detectar criações anômalas de serviços, mudanças em chaves HKLM relacionadas a criptografia e qualquer escrita inesperada nas pastas de instalação de AV.
Portuguese (BR) ·