Киберпреступники использовали устаревший драйвер Avast Anti-Rootkit в новой атаке, чтобы отключить средства защиты и получить полный контроль над системами целей. Исследователи из компании Trellix, специализирующейся на кибербезопасности, обнаружили атаку, в которой используется техника BYOVD для использования слабых мест в старом ПО.

Вредоносная программа, замаскированная под файл kill-floor.exe, устанавливает уязвимый драйвер Avast (aswArPot.sys) и использует его для завершения процессов безопасности от более чем 140 производителей, включая Microsoft Defender, McAfee, Sophos и SentinelOne. Действуя на уровне ядра, драйвер позволяет злоумышленникам обходить защиту и выполнять вредоносные действия незамеченными.

Эксплойт опирается на API DeviceIoControl для передачи команд, эффективно отключая антивирусы и средства защиты.

Регулярные обновления и «проактивное применение политик безопасности» по-прежнему важны для защиты от атак BYOVD, отмечают эксперты.