Una nuova variante del temibile ransomware AvosLocker è stata individuata dal team di ricercatori di Trend Micro e le sue caratteristiche sono quantomeno sconcertanti. Infatti, la prima cosa che salta agli occhi è la sua capacità di eludere gli antivirus e diventare virtualmente invisibile sui sistemi bersaglio.
La "magia" è possibile grazie al fatto che il malware sfrutta un driver valido per disattivare l'antivirus e dunque aggirare i sistemi di rilevamento. Nel loro report, i ricercatori descrivono questa strategia inedita: in sostanza, il malware sfrutta il file asWarPot.sys, un driver anti-rootkit di Avast assolutamente legittimo, per disattivare la suite di sicurezza.
I potenziale punto di ingresso degli attacchi, però, sarebbe un exploit relativo al servizio Zoho ManageEngine ADSelfService Plus (ADSS), la cui vulnerabilità è nota con l'ID CVE-2021-40539. Tramite l'esecuzione di mshta.exe, il malware avvierebbe un'applicazione HTML su un server remoto sotto il controllo degli artefici degli attacchi. In questo modo, tramite uno script PowerShell offuscato, il malware può scaricare e installare un tool di remote dekstop e ulteriori strumenti per disattivare gli antivirus e analizzare la rete bersaglio.
Il fatto che questa variante di AvosLocker sia in grado di passare inosservata nei sistemi bersaglio è un fatto particolarmente preoccupante, tuttavia, i ricercatori sostengono che Avast e AVG (sia in versione aziendale che per gli utenti privati) siano in grado di rilevare e bloccare la variante, mentre per gli altri utenti, consigliano di aggiornare Windows con gli ultimi update di sicurezza e assicurarsi che l'antivirus in uso sia aggiornato alla versione più recente.