Ekspertët e Sophos kanë identifikuar një mjet, të quajtur AuKill, i cili përdor një version të vjetër të drejtuesit të Process Explorer për të çaktivizuar zgjidhjet e sigurisë dhe për të kopjuar backdoors ose ransomware në kompjuterin tuaj. Në veçanti, Medusa Locker dhe LockBit u shpërndanë midis janarit dhe shkurtit 2023. Gjashtë variantet e AuKill në qarkullim ndajnë disa pjesë të kodit me mjetin me burim të hapur Backstab.
AuKill çaktivizon antivirusin dhe instalon ransomware
Teknika e përdorur nga kriminelët kibernetikë njihet si BYOVD (Bring Your Own Vulnerable Driver). Duke shfrytëzuar një disku të cenueshëm, por të nënshkruar në mënyrë legjitime, malware ekzekutohet me privilegje të ngritura. Në këtë rast, drejtuesi i infektuar është PROCEXP.SYS i Process Explorer 16.32, i kopjuar në drejtorinë C:\Windows\System32\drivers, ngjitur me PROCEXP152.SYS legjitime.
Për të fituar privilegje të larta, AuKill imiton TrustedInstaller (Shërbimi i Instaluesit të Moduleve të Windows) dhe merr privilegje SYSTEM. Pas vendosjes së qëndrueshmërisë, malware kopjon drejtuesin PROCEXP.SYS në disk. Ky drejtues nuk zbulohet si i infektuar, kështu që çaktivizon shërbimet dhe proceset e zgjidhjeve të sigurisë.
Megjithatë, produktet Sophos mund të zbulojnë dhe bllokojnë AuKill. Shtëpia e softuerit e raportoi problemin te Microsoft (mjeti Process Explorer është zhvilluar nga Winternals, një degë e kompanisë Redmond). Sophos rekomandon që përdoruesit të instalojnë përditësimet më të fundit të Windows dhe aplikacioneve, si dhe antivirus të mirë.
Discussion about this post