El actor de amenaza conocido como Zorro plateado se ha atribuido al injusticia de un regulador pusilánime previamente desconocido asociado con el antimalware Watchdog como parte de un ataque de Traer su propio regulador pusilánime (BYOVD) destinado a desarmar soluciones de seguridad instaladas en hosts comprometidos.
El regulador pusilánime en cuestión es «amsdk.sys» (lectura 1.0.600), un regulador de dispositivo de kernel de Windows de 64 bits, firmado válidamente que se evalúa para construir sobre el SDK anti-malware Zemana.
«Este regulador, basado en el SDK anti-malware Zemana, fue firmado por Microsoft, no figurado en la tira de bloques de regulador pusilánime de Microsoft y no detectó proyectos comunitarios como Loldrivers», dijo Check Point en un examen.
El ataque se caracteriza por una organización de doble conducción, donde se utiliza un regulador de Zemana pusilánime conocido («Zam.exe») para las máquinas de Windows 7, y el regulador de vigilancia no detectado para los sistemas que se ejecutan en Windows 10 o 11.
Se ha descubierto que el regulador anti-malware Watchdog contiene múltiples vulnerabilidades, la primera y principal es la capacidad de terminar los procesos arbitrarios sin probar si el proceso está funcionando como protegido (PP/PPL). Asimismo es susceptible a la ascenso de privilegios locales, lo que permite a un atacante obtener golpe sin restricciones al dispositivo del conductor.
El objetivo final de la campaña, pasado por primera vez por Check Point a fines de mayo de 2025, es emplear a estos conductores vulnerables para contrapesar los productos de protección del punto final, creando una ruta clara para la implementación y persistencia de malware sin desencadenar defensas basadas en la firma.
Como se observó anteriormente, la campaña está diseñada para entregar Valleyrat (además conocido como Winos 4.0) como la carga útil final, proporcionando capacidades de golpe y control remoto al actor de amenazas. La compañía de ciberseguridad dijo que los ataques emplean un cargador todo en uno, encapsulando las características anti-análisis, dos conductores integrados, la razonamiento de criminal antivirus y el descargador de vallerat dll en un binario.
«Tras la ejecución, la muestra realiza algunas comprobaciones comunes de anti-análisis, como anti-VM (detección de entornos virtuales), anti-sandbox (detección de ejecución internamente de una caja de arena), detección de hipervisores y otros», dijo Check Point. «Si alguna de estas verificaciones descompostura, la ejecución se aborta y se muestra un mensaje de error de sistema inexacto».
El descargador está diseñado para comunicarse con un servidor de comando y control (C2) para obtener la puerta trasera modular Valleyrat en la máquina infectada.
Posteriormente de la divulgación responsable, WatchDog ha valiente un parche (lectura 1.1.100) para atracar el aventura de LPE haciendo cumplir una musculoso tira de control de golpe discrecional (DACL). Sin incautación, el problema de terminación del proceso arbitraria sigue siendo un problema despejado. Esto, a su vez, ha tenido el huella secundario de hacer que los atacantes se adapten e incorporen rápidamente la lectura modificada al alterar solo un byte sin invalidar la firma de Microsoft.
«Al derribar un solo byte en el campo de marca de tiempo no autenticado, preservaron la firma de Microsoft válida del conductor mientras generaba un nuevo archivo hash, evitando efectivamente las listas de bloques basadas en hash», señaló Check Point. «Esta técnica de entretenimiento sutil pero apto refleja los patrones vistos en campañas anteriores».
«Esta campaña demuestra cómo los actores de amenaza están más allá de las debilidades conocidas para armarse a los conductores desconocidos y firmados, un punto ciego para muchos mecanismos de defensa. La explotación de un regulador pusilánime no clasificado de Microsoft, combinado con técnicas evasivas como la manipulación de la firma, representa una amenaza sofisticada y progreso».
Silver Fox, además llamado Swimsnake, el gran atracador de Valley (o Thief del Valle), UTG-Q-1000 y Void Arachne, se evalúa en gran medida activo desde principios del año pasado, principalmente apuntando a víctimas de acento china que usan sitios web falsos enmascarados como Google Chrome, Telegram e Artment Intelligence (AI) herramientas que funcionan con el Valeo de Accesorios a los Remote Jejans.
Según el proveedor chino de ciberseguridad, Antiy, se cree que el comunidad de piratería existió desde la segunda medio de 2022, dirigida a usuarios nacionales y empresas en un intento por robar secretos y defraudarlos.
«El comunidad cibercriminal extiende principalmente archivos maliciosos a través del software de correo instantánea (WeChat, Enterprise WeChat, etc.), promoción de SEO de motores de búsqueda, correos electrónicos de phishing, etc.», dijo la compañía. «El comunidad cibercriminal ‘Swimsnake’ todavía está actualizando con frecuencia los métodos de malware y entretenimiento AV».
Los ataques emplean versiones troyanizadas de software de código despejado, programas maliciosos construidos utilizando el entorno QT o los instaladores de MSI disfrazados como Yodao, Sogou AI, WPS Office y Deepseek para servir a Valley Rat, incluido su módulo en raya que puede capturar capturas de pantalla de WeChat y bancos en raya.
El expansión se produce cuando Qianxin además detalló una campaña separada montada por el «comunidad financiero» internamente de Silver Fox que se dirige al personal financiero y a los gerentes de empresas e instituciones, con el objetivo de saquear información financiera confidencial o beneficiarse directamente a través de fraude.
Estos ataques aprovechan los señuelos de phishing relacionados con las auditorías fiscales, las facturas electrónicas, los anuncios de subsidios y las transferencias de personal para engañar a los usuarios para que ejecutaran troyanos de golpe remoto, mientras dependen de servicios legítimos en la cúmulo como Alibaba Cloud Oss y Yodao Cloud Notes para encajar cargas de cuota maliciosas en un intento de detección de flanco.
El Orden Finanzas es uno de los cuatro subslusos que forman parte de Silver Fox, los otros tres son el comunidad de noticiero y romance, el comunidad de diseño y fabricación y el comunidad de agujeros de riego indignado.
Curiosamente, luego de que el comunidad de finanzas deseo el control de la computadora de una víctima a través de métodos como ataques de agujeros y phishing, se hacen cargo de las cuentas de las redes sociales de la víctima y las aprovechan para dirigir códigos Phishing QR a varios chats grupales WeChat con el objetivo de cosechar números de cuentas bancarias y contraseñas de miembros del comunidad, que finalmente agotan fondos de sus cuentas bancarias para obtener ganancias.
«UTG-Q-1000 es uno de los grupos de delitos cibernéticos más activos y agresivos en China en los últimos primaveras. Sus operaciones son en gran medida organizadas, técnicamente sofisticadas y motivadas financieramente», dijo Qianxin. «Han establecido una condena completa de ganancias del mercado indignado que involucra: espionaje (robo de datos), control remoto a través de malware y fraude financiero y phishing».
