Um grupo hacker chamado Silver Fox tem usado uma técnica sofisticada para invadir computadores de órgãos públicos e empresas: explorar vulnerabilidades em drivers legítimos da Microsoft. Esses drivers são programas que permitem que componentes de hardware, como placas de vídeo, funcionem corretamente em sistemas operacionais como Windows e Linux.
O problema é que os cibercriminosos estão aproveitando falhas em um driver confiável para desativar soluções de segurança e instalar malwares avançados que passam despercebidos.
Como funciona o ataque
A campanha, identificada pela Check Point Security, usa falhas em um driver chamado amsdk.sys, parte do Zemana Anti-Malware SDK. Como o driver tem assinatura digital da Microsoft, o sistema o reconhece como seguro — o que abre caminho para a instalação do ValleyRAT, um malware capaz de:
- Espionar atividades do usuário;
- Roubar senhas e arquivos;
- Permanecer ativo mesmo após reiniciar o computador.
O ataque é ainda mais sofisticado porque o malware é modular: os hackers podem adicionar funções remotamente, atualizando suas capacidades sem precisar reinstalar nada. Isso permite que a ameaça fique ativa por meses ou até anos sem ser identificada.
O truque usado pelos hackers
O driver vulnerável, conhecido como WatchDog Antimalware (amsdk.sys versão 1.0.600), não aparecia na lista oficial de drivers bloqueados da Microsoft, nem em bases comunitárias como o LOLDrivers.
Quando a falha foi corrigida pelo fornecedor com uma nova versão (wamsdk.sys), o Silver Fox reagiu rápido: alterou apenas um byte no timestamp da assinatura digital. Essa pequena mudança foi suficiente para gerar um novo hash, burlando os sistemas de segurança que usam esse “código de identificação” para reconhecer arquivos.
Mesmo modificado, o driver continuava sendo validado pela Microsoft, o que manteve a aparência de legitimidade e permitiu que o malware fosse instalado sem levantar suspeitas.
Como se proteger desse tipo de ataque
Especialistas recomendam algumas medidas importantes para reduzir os riscos:
- Aplicar manualmente a Microsoft Vulnerable Driver Blocklist: a lista é atualizada poucas vezes ao ano, mas garante proteção contra drivers conhecidos como vulneráveis.
- Monitoramento com regras YARA: ajuda a identificar drivers suspeitos e prevenir abusos.
- Manter sistemas e drivers sempre atualizados: reduz a chance de exploração de falhas conhecidas.
