Avast, el popular antivirus gratuito, está siendo aprovechado por hackers para hacer justo lo contrario: infectarlos. Sí, así como lo lees. Han encontrado una forma de convertirlo en una herramienta para generar troyanos y abrir la puerta a ataques sin que te des cuenta. Básicamente, lo que debería ser tu primera línea de defensa podría estar dejándote completamente expuesto.
El malware, conocido como parte de la familia AV Killer, se infiltra en el sistema y lo destruye desde adentro, todo mientras pasa desapercibido porque parece una parte legítima de Avast. Es una jugada peligrosa y, francamente, un gran problema para los usuarios de este popular antivirus.
Hackers Aprovechan un Controlador de Avast para Crear Malware
Cadena de ataque Fuente: Trellix
Una nueva estrategia maliciosa está utilizando un controlador legítimo pero antiguo de Avast Anti-Rootkit para colarse en los sistemas, evadir la detección y desactivar las medidas de seguridad. Básicamente, los hackers están sacándole provecho a una versión vulnerable de este controlador para tomar el control completo del equipo objetivo.
El malware que instala este controlador no pertenece a ninguna familia conocida de antivirus maliciosos, pero viene preparado con una lista codificada de 142 procesos de seguridad de diferentes proveedores que puede atacar.
Como este controlador opera a nivel de kernel, tiene acceso a las partes más sensibles del sistema operativo, lo que permite al malware cerrar procesos de seguridad y abrir la puerta a más ataques.
Los expertos en ciberseguridad de Trellix descubrieron que este ataque se basa en una técnica llamada "traer tu propio controlador vulnerable" (BYOVD, por sus siglas en inglés). En este caso, los hackers usan una versión antigua del controlador anti-rootkit de Avast para desactivar los antivirus y herramientas de seguridad en el sistema.
Te podrá interesar leer: Diferencias entre Programas Antivirus y Antimalware
¿Cómo funciona el ataque?
El ataque funciona así: un archivo malicioso llamado kill-floor.exe coloca un controlador vulnerable, renombrado como ntfs.bin, en la carpeta de usuario predeterminada de Windows. Después, el malware utiliza el Control de Servicios de Windows (sc.exe) para crear un servicio llamado aswArPot.sys y registrar el controlador en el sistema, lo que le da luz verde para hacer estragos sin levantar sospechas.
El malware tiene una lista codificada con 142 procesos relacionados con herramientas de seguridad, y lo que hace es compararla con las tareas activas en el sistema. Según Trishaan Kalra, investigador de Trellix, cuando encuentra una coincidencia, "el malware crea un identificador para comunicarse con el controlador de Avast que instaló previamente".
Luego, utiliza la API DeviceIoControl para enviar los comandos IOCTL necesarios y terminar esos procesos de seguridad, dejando el sistema completamente vulnerable.
Lista de procesos objetivo
Como muestra la investigación, este malware no discrimina: ataca soluciones de seguridad de empresas como McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET e incluso BlackBerry. Prácticamente, barre con todo lo que encuentra a su paso para asegurarse de que ninguna herramienta de protección lo detenga.
Una vez que desactiva las defensas, el malware queda libre para hacer de las suyas sin levantar ninguna alerta ni ser bloqueado.
Es interesante mencionar que esta técnica, y el uso de este controlador en particular, ya había aparecido antes. A principios de 2022, los investigadores de Trend Micro se toparon con algo similar mientras investigaban un ataque de ransomware llamado AvosLocker.
Un poco antes, en diciembre de 2021, el equipo de Stroz Friedberg descubrió que el ransomware Cuba también utilizaba un script para aprovechar una función del controlador anti-rootkit de Avast. Este script servía para desactivar las herramientas de seguridad de los sistemas infectados, facilitando el ataque.
Por esa misma época, los expertos de SentinelLabs identificaron dos fallos graves (CVE-2022-26522 y CVE-2022-26523) que llevaban presentes en Avast desde 2016. Estas vulnerabilidades podían ser explotadas para conseguir privilegios elevados y desactivar productos de seguridad. Avast fue informado sobre estos problemas a finales de 2021 y, aunque no hubo mucha fanfarria, los solucionaron discretamente con actualizaciones de seguridad.
Si bien estas situaciones parecen alarmantes, hay maneras de protegerse contra ataques que aprovechan controladores vulnerables. Por ejemplo, Trellix sugiere usar reglas que identifiquen y bloqueen estos componentes basándose en sus firmas o hashes.
Microsoft también ofrece soluciones. Su política de bloqueo de controladores vulnerables, que se actualiza con cada nueva versión importante de Windows, es una herramienta clave. Desde Windows 11 2022, esta lista de bloqueo está activa de forma predeterminada en todos los dispositivos. Además, la última versión de la lista está disponible a través de App Control for Business. Esto significa que, con las configuraciones adecuadas, puedes mantenerte un paso adelante frente a estas amenazas.
Conoce más sobre: Sitios de Antivirus Falsos Propagan Malware para Android y Windows
Conclusión
Los hackers cada día son más ingeniosos, y aprovechar herramientas confiables como Avast para sus ataques lo demuestra. Esto nos deja una gran enseñanza: ningún sistema es infalible, y confiar únicamente en un antivirus, por muy popular o confiable que sea, no es suficiente para estar completamente protegido.
Para cuidarte, es clave complementar tu antivirus con soluciones avanzadas como EDR (Endpoint Detection and Response) o XDR (Extended Detection and Response), que ofrecen una capa extra de protección al analizar y responder a amenazas en tiempo real. Estas herramientas permiten detectar comportamientos sospechosos, responder a ataques rápidamente y proteger no solo tu dispositivo, sino toda tu red.
Si necesitas asesoramiento o estás buscando implementar una solución de seguridad más robusta, contáctanos. Nuestro equipo de especialistas puede ayudarte a encontrar la mejor protección para tu empresa.
