Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

Специализирующаяся на продуктах в области информационной безопасности компания Avast оштрафована на $14,8 млн Управлением по защите личных данных Чехии (ÚOOÚ) за незаконную обработку личных данных 100 млн пользователей антивируса и браузерных расширений.

Источник изображения: Avast

По мнению ÚOOÚ, Avast вводила в заблуждение пользователей утверждениями об использовании надёжных методов анонимизации данных, тогда как часть собираемой информации всё же могла быть использована для идентификации пользователей. Установлено, что в 2019 году Avast передала данные 100 млн пользователей своих продуктов занимавшейся продажей аналитики поведения пользователей и закрытой в 2020 году дочерней компании Jumpshot.

Avast уже заявила, что не согласна с выводами ÚOOÚ и рассматривает возможность дальнейших судебных действий, а также подчеркнула приверженность защите данных клиентов и их конфиденциальности. Компания не первый раз оказывается в эпицентре подобных скандалов. В феврале Федеральная торговая комиссия (FTC) США обвинила Avast в незаконной продаже данных пользователей, оштрафовав на $16,5 млн. По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера. Полученные данные передавались всё той же ныне закрытой Jumpshot.

Федеральная торговая комиссия (FTC) США объявила в четверг, что запретит разработчику антивирусного ПО Avast продавать рекламодателям данные о просмотре веб-страниц потребителями. При этом разработчик заявил, что его решения не позволяют отслеживать пользователей в интернете.

Источник изображения: StartupStockPhotos/Pixabay

Сообщается, что Avast урегулировала обвинения FTC на сумму $16,5 млн, что, по словам регулятора, позволит возместить ущерб пользователям Avast, чьи конфиденциальные данные о просмотре веб-страниц были незаконно проданы разработчиком рекламным компаниям и брокерам данных.

«Avast обещала пользователям, что её продукты защитят конфиденциальность их данных о просмотренных страницах, но сделала наоборот», — сообщил Сэмюэл Левин (Samuel Levine), директор Бюро по защите прав потребителей FTC, в своем заявлении в четверг, отметив, что практика Avast идёт вразрез с законом.

По словам FTC, Avast годами собирала информацию о действиях клиентов в интернете, включая их поисковые запросы и посещаемые веб-сайты, используя собственные расширения браузера Avast, которые, по её утверждению, «защитят вашу конфиденциальность», блокируя файлы cookie онлайн-отслеживания.

Эти данные Avast продавала через свою ныне закрытую дочернюю компанию Jumpshot более чем сотне компаний, заработав на этом десятки миллионов долларов. FTC утверждает, что данные, которые продавала Jumpshot, раскрывают религиозные убеждения пользователей, имеющиеся проблемы со здоровьем, политические взгляды, а также их местонахождение и другую конфиденциальную информацию.

Согласно совместному расследованию Vice News и PCMag, проведенному в январе 2020 года, Jumpshot продавала конфиденциальные данные о просмотре веб-страниц пользователями таким компаниям, как Google, Yelp, Microsoft, Home Depot и консалтинговому гиганту McKinsey. В частности, Jumpshot продавала данные о кликах своих пользователей, включая конкретные веб-ссылки, на которые нажимали пользователи.

На тот момент у Avast было более 430 млн активных пользователей по всему миру, а Jumpshot утверждала, что имеет доступ к данным со 100 млн устройств. Спустя несколько дней после публикации этого исследования Avast закрыла Jumpshot. В 2021 году Avast объединилась с Norton LifeLock и теперь входит в состав материнской компании Gen Digital, которая также владеет приложением CCleaner.

Комментируя сообщение регулятора, Avast заявила, что не согласна с «утверждениями и описанием фактического материала». «Когда Avast добровольно закрыла Jumpshot в 2020 году, она прекратила эту практику. Операционные положения мирового соглашения соответствуют текущим программам Avast по обеспечению конфиденциальности и безопасности», — отметила компания.

Чешская компания Avast Software полностью покинула российский рынок, в связи с чем на территории страны перестали работать продукты разработчика, такие как антивирусы Avast и AVG, а также утилита для очистки и оптимизации системы CCleaner. Пользователям продуктов Avast придётся перейти на альтернативные решения других поставщиков или же искать способы обхода блокировки.

Источник изображений: comss.ru

Уход чешской компании из России стал заметен 29 января, когда появились сообщения пользователей, согласно которым мобильные и десктопные приложения Avast перестали функционировать. К примеру, при попытке запуска антивируса Avast появляется сообщение «К сожалению, этот продукт не поддерживается в вашем текущем местоположении», что говорит об отсутствии поддержки приложения в регионе.

В дополнение к этому российским производителям заблокирован доступ к сайтам Avast и AVG, в том числе avast.ru, который попросту отключили. Напомним, о намерении уйти с рынка России Avast объявила в марте 2022 года. Представители компании пока не комментируют полное отключение своих продуктов, но на странице техподдержки есть информация касательно данного вопроса.

«В связи с регулированием экспорта из-за недавних событий мы не можем предоставлять наши услуги и поддержку пользователям в России и Беларуси. Если вы являетесь текущим пользователем и используете наши продукты, их некоторые функции могут не работать, или вы можете столкнуться с ошибками при использовании наших сервисов и программ. Приносим свои извинения за возможные неудобства и благодарим вас за то, что являетесь нашим клиентом», — сказано в сообщении Avast.