Novas descobertas indicam que atores maliciosos podem explorar uma técnica furtiva de evasão de detecção de malware e contornar soluções de segurança de endpoint, manipulando o Windows Container Isolation Framework.

A arquitetura de contêiner da Microsoft utiliza uma “imagem gerada dinamicamente” para separar o sistema de arquivos de cada contêiner do host, evitando assim a duplicação de arquivos do sistema.

O resultado são imagens que contêm “arquivos fantasmas”, que não armazenam dados reais, mas apontam para um volume diferente no sistema.

Os pesquisadores sugeriram que esse mecanismo de redirecionamento poderia ser usado para ofuscar operações do sistema de arquivos e confundir produtos de segurança.

No entanto, vale ressaltar que a execução do ataque requer permissões administrativas para se comunicar com o driver wcifs e não pode ser usado para substituir arquivos no sistema host.