Um grupo de ameaça persistente avançada (APT) identificado como Silver Fox está a explorar vulnerabilidades em drivers legítimos do Windows para comprometer computadores de organismos públicos e empresas. A operação, monitorizada pela Check Point Security, tira partido de um ficheiro assinado pela Microsoft para desativar ferramentas de proteção e instalar o malware ValleyRAT, especializado em espionagem e roubo de informação.
Como decorre a intrusão
O ponto de entrada é o driver amsdk.sys, componente do kit de desenvolvimento Zemana Anti-Malware conhecido internamente como WatchDog Antimalware (versão 1.0.600). Por possuir assinatura digital legítima da Microsoft, o driver é automaticamente confiado pelo sistema operativo, escapando à maioria das listas de bloqueio.
Para garantir compatibilidade com diferentes versões do Windows, os atacantes incorporam dois drivers – um destinado a sistemas legados e outro a edições modernas – dentro de um único carregador. O pacote inclui camadas contra análise forense e o módulo responsável por descarregar o ValleyRAT. Uma vez executado, o driver vulnerável permite terminar processos de segurança, elevar privilégios locais e aceder directamente ao disco, criando condições para a instalação silenciosa do malware.
Capacidades do ValleyRAT
O ValleyRAT actua como plataforma modular. Depois de obtido o controlo inicial, o operador pode adicionar ou remover funcionalidades remotamente, alargando o período de permanência sem detecção. Entre as acções observadas constam registo de actividade, captura de documentos, extração de palavras-passe e comunicação encriptada com o servidor de comando e controlo. O código mantém-se activo após reinicialização e não desencadeia alertas, beneficiando do facto de o driver base continuar a ser considerado fidedigno.
Falhas exploradas e resposta do fornecedor
Os analistas identificaram várias lacunas no WatchDog, com destaque para a ausência de controlos de acesso adequados ao namespace do dispositivo. Essa fragilidade permite que qualquer utilizador, mesmo sem privilégios administrativos, interaja com o driver assim que este esteja instalado. Reconhecendo o problema, o fornecedor lançou a versão corrigida wamsdk.sys 1.1.100.
No entanto, o Silver Fox adaptou-se rapidamente: bastou alterar um único byte no timestamp da assinatura digital para gerar um hash diferente, suficiente para iludir sistemas de bloqueio baseados em listas de hashes, sem invalidar a certificação da Microsoft. O driver modificado continua, assim, a carregar sem restrições.
Impacto nos alvos
Segundo a Check Point, os atacantes concentram-se em entidades governamentais e empresas de vários sectores, com o objectivo de recolher dados sensíveis e manter presença prolongada dentro das redes. O uso de binários assinado reduz a probabilidade de detecção, podendo permitir meses de actividade sem que os administradores se apercebam.
Medidas de mitigação
A equipa de investigação aconselha a aplicação manual da Microsoft Vulnerable Driver Blocklist, visto que a lista é actualizada automaticamente apenas uma ou duas vezes por ano. Além disso, recomenda-se o uso de rules YARA para identificar drivers comprometidos, bem como a actualização regular de sistemas operativos e controladores.
Organizações com infra-estruturas críticas devem ainda restringir a instalação de novos drivers a utilizadores autorizados e monitorizar tentativas de carregamento de binários não verificados. A implementação de registos avançados (ELA, Sysmon) pode ajudar a detectar actividades anómalas associadas ao carregador utilizado pelo Silver Fox.
Embora a correção oficial já exista, a exploração demonstra que pequenas alterações em ficheiros assinados são suficientes para contornar camadas de defesa. A manutenção de controlo rigoroso sobre drivers permitidos permanece, por isso, um passo essencial para reduzir a superfície de ataque em ambientes Windows.
